《阿拉丁研究院: 2023小程序安全建设与发展洞察报告(34页).pdf》由会员分享,可在线阅读,更多相关《阿拉丁研究院: 2023小程序安全建设与发展洞察报告(34页).pdf(34页珍藏版)》请在三个皮匠报告上搜索。
1、序言随着移动互联网进一步发展、生态建设全面展开,小程序步入多元化功能、多场景适配和多平台服务的新阶段,业务复杂度提升、全域营销兴起,更多第三方服务的加入为小程序增添繁荣景象的同时也带来更多风险。在意识层面,小程序安全应当覆盖从开发到上线再到运营和迭代的全周期。然而实际情况下企业往往出于成本、时间、难题攻坚等条件限制降低了对小程序安全的要求,以至于后期出现各种问题,造成巨额损失。近年来在政策规范和行业引导下小程序领域整体全意识有所提升,但风险意识教育和行业规范自律方向仍然需要全体参与者持续定向投入。作为小程序发展的“基地”,生态侧的影响首当其冲。据阿拉丁研究院了解,各大平台对小程序安全的引导和约
2、束分为两类:一类是以微信和支付宝为代表的产品模式,通过官方小程序安全检测服务提前预防,一类是以抖音、快手、百度为代表的评级模式,通过评分产生干预作用,此外第三方市场也提供了大量的安全产品和服务,帮助企业解决开发、运营和营销中的各种问题。尽管如此,小程序安全的现状仍然有大幅提升空间。阿拉丁通过自有的安全指数测算发现,个样本中.%的小程序处于-分的中等水平,满分小程序仅有 个;超过 成的小程序至少有 个风险,接近%的小程序同时存在高、中、低三类风险,反编译能力(小程序代码是否具备反编译能力)和环境安全(小程序使用环境是否存在问题和风险)满分率仅有.%和.%,是大多数小程序的薄弱环节。如何在经营条件
3、允许下尽最大努力做好小程序安全防护?为此阿拉丁联合腾讯安全推出了“企业级小程序安全系列专项方案”,专项方案立足小程序安全行业现状,基于腾讯 多年风控实战经验沉淀,依托腾讯海量业务构建的智能风控体系,为企业应用安全合规保驾护航。同时阿拉丁还推出了小程序安全指数,帮助市场观察和参考行业动向,进行市场宣传教育。互联网技术创新不止,小程序安全防护不息。在平台互通,多生态经营场景下,小程序未来将以更广泛的形式出现在网民生活片段中,另一方面物联网、车联网、智慧社区的发展也将带来新的安全挑战,国际形势更是不容忽视,网络、信息和数据安全将达到前所未有的高度。小程序安全任重道远。小程序安全建设与发展洞察目录01
4、0203小程序安全市场现状小程序安全指数分析小程序安全防护核心场景生态建设加速,小程序站上移动互联网 C 位;多平台布局、多方协作扩展业务复杂度,小程序安全建设面临更多挑战技术开发业务运营生态服务推广营销小程序功能多元化品牌开展矩阵服务小程序多平台适配小程序与生态交互生态内组件服务第三方工具服务业务复杂度提升使用运营工具用户信息安全防护搭建全域链路使用营销工具营销反作弊阿里生态轻店铺京东生态京东系小程序小红书生态小红书小程序美团生态美团小程序华为生态华为 HarmonyOS原子化服务微信生态微信小程序QQ 小程序鹅盒蚂蚁生态支付宝小程序快手生态快手小程序抖音生态字节小程序小游戏手机厂商网易生态
5、网易云音乐小程序百度生态百度智能小程序手机厂商系小程序 生态 小程序 知语小程序安全建设与发展洞察资料来源:年度小程序互联网发展白皮书,阿拉丁研究院营销能力拓展,小程序肩负全域经营枢纽重任,多层接口与工具联通对安全防护提出更高要求KOL/KOC自媒体个体经营者企业组织推荐搜索信息流功能页活动增购复购全域推广生态营销自建平台门店APP内容平台抖音快手B 站小红书社交平台微信微博知乎豆瓣电商平台天猫拼多多淘宝京东生活服务平台支付宝垂直平台活动转化分享裂变内容种草私域营销、会员服务小程序商业能力版图企业服务互选合作带货分销广告投放活动参与组件链接内容号社群/粉丝团小程序直播间平台运营太阳码外链品牌曝
6、光流量获取场景营销会员沉淀企业数字化数据驱动经营小程序安全建设与发展洞察资料来源:年度小程序互联网发展白皮书,阿拉丁研究院服务场景丰富,小程序成为基础应用,个人信息安全成为发展标配出行票务政务办事生活缴费外卖点餐物流快递共享充电在线文档视频挂号就诊拍摄剪辑家政游戏健身养生课程培训健康助眠生活服务网络购物线下零售游戏视频餐饮健康工具旅游政务公益780 万+全网小程序数量8 亿全网小程序 DAU12.6 次小程序日人均使用次数小程序安全建设与发展洞察资料来源:年度小程序互联网发展白皮书,阿拉丁研究院完善的小程序安全涵盖从开发到经营的方方面面,涉及代码、内容、用户信息、数据、业务五大维度小程序安全建
7、设与发展洞察开发安全用户安全内容安全数据安全业务安全代码防护 代码规范 测试保密注册保护 身份验证 隐私保护图文检测 音频检测 视频检测数据治理 数据加密 数据防篡改账号风控 流量反欺诈 营销反作弊资料来源:市场公开信息,由阿拉丁研究院整理小程序安全建设知易行难,需要行业多方共同努力践行支出成本合理的安全维护支出性价比高的检测产品风险意识以经典案例开展安全教育以技术分享普及安全能力行业规范基于共建理念的安全意识客观公开的评比参照标准企业由于各种原因在开发环节就留下安全隐患,加之上线前缺少全面检查,导致安全问题发生,影响经营效果。基于业务需要,小程序不可避免地与与生态、第三方服务器的业务逻辑发生
8、交互,这也是安全最薄弱的环节。营销活动需要企业大量支出成本,是流量作弊和黑产套现重灾区。缺少安全措施会导致浪费大量资金而效果大打折扣的双重损失。小程序安全建设与发展洞察开发排期紧张技术能力不足代开发服务转包模版小程序缺乏稳定性开发预算有限低价诱惑交付粗糙API 不符合规范其他信息安全用户信息泄漏订单盗刷恶意注册网赚刷单频繁登录恶意刷券恶意下单薅羊毛营销效果开发质量交互保障资料来源:市场公开信息,由阿拉丁研究院整理在政策监管与生态约束下,小程序安全建设逐步形成以规范为基础、以安全检测和评级服务为手段的驱动方式分为基础诊断和深度诊断两种方式,提供小程序基础安全、性能测试、营销风控、流量反欺诈等安全
9、服务小程序安全诊断包含注册提交规范、基本信息规范、功能设置规范、主体规范、行为规范、信息内容规范小程序运营规范小游戏特别规范包含注册提交规范、基本信息规范、功能体验规范、行为规范、信息内容规范、内嵌网页规范、用户隐私和数据规范小程序运营规范分为 A/B/C 三个等级,由质量分、性能稳定性和 违规行为构成小程序等级小游戏特别规范分为设 S/A/B/C/D 五个等级,由内容丰富度、功能完备性、使用体验度和经营行为规范构成小程序信用分小程序评价体系小程序运营规范小程序设计规范小程序审核规范从性能维度对小程序运行进行实时分析,生成体验评分报告及对应优化建议从内容安全、内容侵权、功能滥用、行为违规和垂类
10、规范 个板块小程序评分包含注册信息规范、基础信息规范、功能体验规范、代码包提审规范、信息内容规范、行为规范、可用性与完整性规范、用户隐私和数据规范、用户服务规范、技术实现规范、小程序支付规范、小程序 UI 规范小程序运营规范开放平台提供安全检测服务,检测系统漏洞、数据泄漏等安全风险小程序安全检测包含小程序准入规范、营销规范、行业管理规范、其他通用管理规范小程序运营规范小程序安全建设与发展洞察小程序安全成为生态共建共享的重要环节,第三方视角提供更多服务阿拉丁联合腾讯安全推出“企业级小程序安全系列专项方案”,立足于小程序安全行业现状,基于腾讯 多年风控实战经验沉淀,依托腾讯海量业务构建的智能风控体
11、系,为企业应用安全合规保驾护航。互联网业务新零售业务社交/直播/视频旅游出行业务游戏业务20+年安全防护经验10 亿级用户安全防护1000 PB云计算数据规模海量内容实时审核,智能分析降低成本,规避风险保障大促活动,抵制黑产侵害,修复安全隐患,优化业务系统鉴别虚假流量,发现异常行为和无效会员,提升私域运营效率事前感知渗透,事中防御拦截,事后修复止损,全链路安全服务,对羊毛党说 NO人工测试,专业报告,减少兼容性问题导致的负面体验,解决用户流失困扰小程序安全建设与发展洞察阿拉丁推出安全指数评估模型,助力小程序安全普及,促进安全意识进阶阿拉丁小程序安全指数安全检测程序安全账号安全安全衰减风险扣分迭
12、代更新检测周期风险等级风险个数参与检测,接入指数获得安全指数及排名数据参考,查漏补缺提升安全防范能力市场观察数据参照行业对比第三方背书小程序安全检测获得指标得分计算指数得分参与指数排名小程序安全建设与发展洞察使用安全业务安全目录010203小程序安全市场现状小程序安全指数分析小程序安全防护核心场景数据来源:阿拉丁指数平台()阿拉丁小程序安全指数测算说明小程序安全指数测算规则参与安全指数测算的小程序行业分布阿拉丁安全指数评测范围包含程序安全、账号安全、使用安全、业务安全和潜在风险 个维度共计 个细分项目参与安全指数测算需使用阿拉丁与腾讯安全联合推出的“企业级小程序安全系列专项方案”进行检测,并根
13、据算法获得基础得分将周期内参与指数测算的小程序基础得分进行排序并归一化处理获得指数小程序安全指数的最高分为 分,仅代表相对安全程度,不代表绝对安全评估维度程序安全(%)账号安全(%)使用安全(%)业务安全(%)风险类型及数量细分项目权重%额定减分额定减分额定减分代码安全小程序是否存在编码规范、逻辑缺陷等问题反演译能力小程序代码是否具备反编译能力权限规范小程序是否存在未鉴权访问、越权访问风险身认证安全用户隐私信息、口令等信息泄露风险信息安全小程序是否存在key/token泄露、api规范风险环境安全小程序使用环境是否存在问题和风险运营安全小程序是否存在运营管理相关信息泄漏风险内部信息安全小程序内
14、部邮箱、IP、域名等硬编码风险问题高风险高风险个数中风险中风险个数低风险低风险个数检测内容品牌零售 电商 本地生活 工具软件 金融理财 文娱 教育 房产 新闻政务 汽车 医疗健康 旅游旅行 游戏 社交 物流 公益 体育健身 小程序安全建设与发展洞察数据来源:阿拉丁指数平台()个小程序安全指数平均得分 分,分段占比.%975 个参与测算小程序数量6314 分安全指数平均得分6250 分安全指数中位数.%.%.%.%.%.%.%.%.%.%分 分段 分段 分段 分段 分段 分段 分段 分段 分段 阿拉丁小程序安全指数分布小程序安全建设与发展洞察数据来源:阿拉丁指数平台()物流、教育、金融等领域平均
15、指数较高,品牌零售、旅游旅行、文娱小程序安全水平良莠不齐,既有满分标杆,也有低分产品类型 分 分段 分段 分段 分段 分段 分段 分段 分段 分段品牌零售.%.%.%.%.%.%.%.%.%.%电商.%.%.%.%.%.%.%.%本地生活.%.%.%.%.%.%工具软件.%.%.%.%.%金融理财.%.%.%.%.%.%文娱.%.%.%.%.%.%.%教育.%.%.%.%.%.%房产.%.%.%.%新闻政务.%.%.%.%.%汽车.%.%.%.%.%医疗健康.%.%.%.%.%旅游旅行.%.%.%.%.%.%.%.%游戏.%.%社交.%.%.%.%体育健身.%.%.%物流.%.%.%公益.%.
16、%小程序安全指数分值结构(行业对比)平均指数小程序安全建设与发展洞察数据来源:阿拉丁指数平台()分项满分率显示,反编译能力和环境安全是大多数小程序的薄弱环节小程序安全指数分项指标满分率评估维度程序安全账号安全使用安全业务安全细分项目代码安全小程序是否存在编码规范、逻辑缺陷等问题小程序代码是否具备反编译能力小程序是否存在未鉴权访问、越权访问风险用户隐私信息、口令等信息泄露风险小程序是否存在 key/token 泄露、api 规范风险小程序使用环境是否存在问题和风险小程序是否存在运营管理相关信息泄漏风险小程序内部邮箱、IP、域名等硬编码风险问题反翻译能力权限规范身份认证安全信息安全环境安全运营安全
17、内部信息安全检测内容小程序安全建设与发展洞察.%.%.%.%.%.%.%.%代码安全反编译能力权限规范身份认证安全信息安全环境安全运营安全内部信息安全新闻政务、本地生活、物流等行业分项指标略显优势小程序安全指数分项指标满分率(行业对比).%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%品牌零售电商本地生活工具软件金融理财文娱教育房产公益旅游旅行汽车社交体育健身物流新闻政务医疗健康游戏反编译能力.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%代码安全.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%.%环境安全.%.%.%.%.%.%.%.%.
18、%.%.%.%.%.%.%.%.%内部信息安全小程序安全建设与发展洞察数据来源:阿拉丁指数平台()超过 成小程序有 个风险,同时存在高、中、低风险的小程序接近%风险个数分布参与安全指数的小程序风险情况分布 个无 个 个 个 个 个 个 个 个 个 个 个 个.%.%.%.%.%.%.%.%.%.%.%.%.高风险97751444636中风险低风险小程序安全建设与发展洞察数据来源:阿拉丁指数平台()拥有多个类型风险是当前小程序安全的普遍形态,并不存在明显的行业差别小程序安全建设与发展洞察数据来源:阿拉丁指数平台()1 个无风险10 个有 类风险189 个有 类风险775 个有 类风险%品牌零售电
19、商本地生活工具软件金融理财文娱教育房产新闻政务汽车医疗健康旅游旅行游戏社交体育健身物流公益 年 月阿拉丁指数 TOP 小程序行业结构无风险有 类风险有 类风险有 类风险目录010203小程序安全市场现状小程序安全指数分析小程序安全防护核心场景小程序安全防护主要包括基础安全、流量风控和隐私合规小程序基础安全安全诊断性能测试流量风控营销风控流量反欺诈隐私合规权限获取信息传输小程序安全建设与发展洞察小程序安全建设与发展洞察小程序基础安全小程序基础安全需要关注从上线到运营的每个阶段小程序代码防护通过对代码进行字符串加密、属性加密、调用转换、代码混淆等多项保护措施,提高攻击者分析前端代码逻辑的难度,从而
20、防止他人进行代码逆向、篡改、调试和窃取等行为站点容量评估新系统上线验收运营活动上线稳定性测试兼容性测试在真实生产环境测试服务能支持的最大并发,估算并合理配置业务容量,降低成本,同时减少上线后的卡顿问题,保证服务质量根据业务需求测试关键场景峰值,准确探知系统负载能力,避免上线活动带来重大事故提前优化系统性能问题,降低卡顿、崩溃风险,确保线上运营活动稳定顺畅,确保用户顺利留存,品牌流量高效增长预先发现业务故障,优化系统,减少业务中断时间,提升用户体验和转化率,避免订单损失对主流机型进行测试,避免兼容性问题带来安装/拉起失败,闪退,UI 异常等问题小程序安全建设与发展洞察腾讯安全基于小程序特征和运行
21、环境推出专属产品,更专业,更实用小程序渗透测试通过模拟黑客攻击的形式对小程序业务系统进行渗透测试,发现可导致业务数据泄露,资产受损、数据被篡改等各类安全风险小程序兼容性测试提供智能、自动化、深度、专家四种模式,可根据产品方人力配置、产品阶段、预算方案配置服务,支持自动化及定制场景站点容量评估在真实生产环境测试服务能支持的最大并发,估算并合理配置业务容量,降低成本,同时减少上线后的卡顿问题,保证服务质量小程序基础诊断针对应用前端和后台 WEB 端整体的自动化风险监测工具,覆盖前台代码安全和 API 使用规范以及业务CGI 和对 WEB 框架和的安全检测小程序代码加固针对应用前端代码的加密服务,只
22、需将代码(路径或文件)传递给加密工具,即可实现字符串加密、属性加密、调用转换、代码混淆等多项保护措施,达到保护代码安全的目的小程序安全建设与发展洞察资料来源:腾讯安全流量风控羊毛党钻营谋利,假流量污染数据,企业经营蒙受营销成本和数据失真双重损失送积分做任务得金币推荐有奖抽奖用户拉新抢劵抢红包砍价秒杀注册有奖羊毛党产业链分工协作,风险多样,防范困难营销成本失控经营策略偏离数据样本失真流量欺诈利用技术手段为获取利益而伪造虚假数据牟取暴利羊毛党大量注册小号获取限量企业福利,利用平台设计或规则漏洞大量哄抢销售收入损失小程序安全建设与发展洞察常见的应对策略以围绕信息和模型构建防御体系为主IP 画像提升识
23、别准确率专业羊毛党经常使用代理 IP 技术,IP 画像从网络和业务层面输出评分,通过动态更新风险值建立各种业务规则,在有效识别作弊 IP 的同时减少对正常用户的误判。动态数据保护设计动态加密算法,为每套加密算法设置生命周期,用以抵御黑客破解行为。通常需配合 APP 或 SDK 加固。设备指纹追踪通过设备检测模型获取底层设备信息,精确锁定作弊设备,避免改机软件和模拟器修改设备信息蒙混过关。行为建模鉴别使用人工智能技术对设备操控行为、设备指纹和业务场景数据进行建模分析,训练高准确率的行为模型识别机器行为。机器学习识别羊毛党团伙作案专业羊毛党往往是团伙作案模式,通过挖掘用户业务关系网络,采用无监督学
24、习和有监督学习方法构建识别羊毛党的网络模型。风险名单库识别作弊用户在长期业务数据和反作弊数据中积累各类风险名单库,包括手机号、设备、账号等。在实际业务中使用风险名单库进行比对,找出作弊用户和设备。小程序安全建设与发展洞察资料来源:市场公开信息,由阿拉丁研究院整理从被动防御到主动出击流量真伪&活跃分析帮助企业筛选分级,挖掘商机智能用户触达价值流量真伪&活跃分析融合腾讯内部多种数据标签,构建目标产品的响应预测模型。评估各类客户的现有价值对客户进行综合评判和分级,为后续营销活动做准备生命周期阶段用户处于生命周期的阶段:无需求、萌芽期、成长期稳定性、衰退期、冷却期风险流量剔除剔除已知黑名单客户、行业风
25、险名单潜在风险客户、黑灰产团队成员行业活跃度用户近段时间线上活跃程度用户对产品服务的匹配度用户对产品分的响应度流量真伪鉴别使用人工智能流量验真技术从海量流量中筛查出虚假流量确保资源精准聚焦小程序安全建设与发展洞察资料来源:腾讯安全腾讯安全天御全栈式风控引擎全程守护经营者权益东鹏特饮业务场景一物一码发红包使用效果每年节省营销资金 万使用方法对天御返回的风险值中标记为“reject”的用户拦截,风险值为“review”的用户增加验证码验证,且减少红包金额。京东业务场景领券抢购使用效果节约营销费用超过 万/月,刷券、抢占折扣商品等行为明显下降使用方法对风险值中标记“reject”的用户拦截不发券,大
26、促期间对风险值为“pass”之外的用户予以限制哔哩哔哩业务场景注册与营销活动使用效果协助发现大量恶意注册账号,对于判定异常账号,后续跟踪发现有僵尸粉、垃圾广告等现象发生使用方法对 天 御 返 回 的 风 险 值 为“reject”的用户进行打击,不发放奖励四川航空业务场景查票、活动使用方法机票查定比保障在:以内,精准识别并有效拦截恶意刷票、羊毛党等请求,识别准确率在%以上同程旅行业务场景营销活动使用方法有效减少因网赚团伙造成的损失,节约成本超千万,且转化率无明显下降小程序安全建设与发展洞察资料来源:腾讯安全盗隐私合规多项法律法规陆续实施,网络数据和个人信息保护重要性持续升级网络安全审查办法 年
27、 月 日起施行常见类型移动互联网应用程序必要个人信息范围规定 年 月 日起施行App 违法违规收集使用个人信息行为认定方法 年 月 日起施行互联网用户账号信息管理规定 年 月 日起施行中华人民共和国数据安全法 年 月 日起施行中华人民共和国个人信息保护法 年 月 日起施行中华人民共和国网络安全法 年 月 日起施行小程序安全建设与发展洞察资料来源:市场公开信息,由阿拉丁研究院整理腾讯安全推出隐私合规非侵入式检测,只需输入小程序 appid 即可获取报告小程序Saas 服务小程序安全建设与发展洞察资料来源:腾讯安全在移动互联网技术持续进步中,小程序安全防护方法也越来越趋于完善,基础安全、流量风控、
28、隐私合规三大场景的服务也已经成为小程序安全标配。立足当下,展望未来,小程序安全仍然有很长的路要走。受到国际形势的影响,全球对网络、信息和数据安全的关注和要求已经达到前所未有的高度,小程序站在移动互联网“C”位,肩负着全域经营枢纽重任,安全防护势必从严从重。其次,平台互通、多生态经营已成必然,未来小程序将以更广泛的形式承接网民生活需求;另一方面,物联网、车联网、智慧社区的持续发展也必然带来新的风险场景和业务挑战,伴随着小程序的延展能力,在创新技术、工具组件和复杂生态的环境中,安全隐患可能更为隐蔽,风险识别难上加难。第三,企业在完成经营目标的过程中对小程序安全的考量也随之增多。无论是第三方代开发、
29、代运营,还是引流获客、用户营销,规避风险、降本增效的需求促使安全成为第三方产品与服务的核心竞争点之一。最后,小程序安全离不开市场教育和行业共建,一个“生态有标准、行业有规范、发展有依据、对比有进步”的自驱自律闭环需要参与者共同努力。阿拉丁研究院希望以“企业级小程序安全系列专项方案”和小程序安全指数为基础,打造一个市场观察与行业交流窗口,助力小程序安全意识普及,让更多开发者和经营者及时获取信息,提高安全防护能力。互联网技术创新不止,小程序安全防护不息。阿拉丁愿与广大从业者共同努力,营造一个安全、健康、繁荣的小程序新时代。结语关注获取小程序资料扫码咨询&进群阿拉丁研究院出品【版权声眀】本白皮书由阿
30、拉丁研究院推出,数据来源阿拉丁指数、调研访谈、第三方授权数据,版权归阿拉丁持有。未经书面许可,任何其他个人或组织均不得以任何形式将本白皮书的全部或部分内容转载、复制、编辑或发布使用于其他任何场合。报告内的信息“按现状”提供,不附有任何种类的(无论是明示的还是默示的)保证,包括不附有关于适销性、适用于某种特定用途的任何保证以及非侵权的任何保证或条件。本白皮书仅为提供通用指南,并不视为针对企业提供的专业建议。阿拉丁(全称 北京阿拉丁神科技有限公司)是专业的全域大数据智能产品和营销服务提供商,主营业务覆盖小程序及视频号数字化运营与营销增长,为用户提供阿拉丁指数、视灯指数、小程序统计平台、小程序广告监测平台、阿拉丁开放平台等产品服务,并基于前沿的大数据分析为用户提供定制化商业分析、行业趋势洞察、品牌传播、展会活动、营销全案设计等个性化服务,助力用户实现全域数字化营销,加速业务增长。