2016年中国信通院等机构联合发布《移动互联网金融APP信息安全现状》,其中抽取88个互联网金融类移动应用APP进行测试,最终发现信息泄露、二次打包、代码可逆向、可调式等十大安全隐患。在监管部门要求下,如何在规避安全问题,成为移动APP越来越重视的问题。10月20日,FreeBuf企业安全活动上,网易云易盾移动安全技术专家卓辉受邀发表“移动互联时代APP的安全防护”的主题,分享网易云安全在移动APP安全的实践经验。
对于移动应用APP安全风险。网易云易盾卓辉提到,移动APP最常见的安全风险有:山寨APP、重打包、破解、数据泄露、登录安全等风险。例如,移动APP山寨应用已严重危害正版应用,经有关部门统计,热门应用中平均有27个山寨APP。通常正版应用上线后,应用被解包逆向分析,从中找到核心功能实现,进一步拷贝代码进行简单开发,重新打包上架。
同时,移动APP也面临重打包风险,通过反编译工具向应用中插入广告代码与相关配置,再在第三方应用市场、论坛发布。对于打包党对于移动APP带来的危害有以下几种:
关于移动APP破解、数据泄露风险问题,卓辉以金融行业为例。众所周知数据是金融类应用产品重要资源之一,关乎企业与发展、但移动应用经常被破解、数据被抓包,导致本地存储数据以及用户名、密码等重要信息泄露。下面举例说明数据泄露案例。
基于多年的移动安全经验积累,网易云易盾在移动APP安全风险问题上,从起始的发到阶段、中间的测试阶段再到结尾发布阶段,针对移动APP全生命周期进行安全防护。
开发阶段——移动应用开发时接入安全组件,数据安全。其中,针对安全通信方面,实现数据高强度加密,结合传统的对称、非对称加密算法和hash算法,客户端加密数据只有认证服务端才能解密,从而防止了数据泄漏、数据窃取和。另外,为了实现加强数据的安全强度,安全组件结合自适应特征算法和随机切换算法,不同时间、不同终端的算法和密钥的差异性。
测试阶段——对移动应用进行人工渗透测试,发现漏洞解决产品修复相关问题,包括:APP渗透测试和服务端渗透测试。
发布阶段——APP上架之前针对应用做安全加固,提高安全防护等级,上架之后做盗版监测。网易云易盾可针对dex文件进行加固防护,防止被静态反编译获取代码逻辑;应用在被非法二次打包后不能正常运行;防止通过使用调试器工具对应用进行非法破解;提供自研高稳定的设备指纹,防止潜在的刷单风险;加密资源文件,防止apk资源文件被破解;对so文件进行加固,防止native代码被逆向分析;对游戏提供加固,让游戏免受破解、外挂等。
除此之外,易盾还做了对iOS应用的,针对代码提供了加密、逻辑混淆和符号混淆等静态功能。另外,还针对动态,提供了反调试、反注入、防内存dump和防等,通过这些可以有效防止破解、、数据泄漏等,有效开发者的知识产权。
最后,卓辉总结网易云易盾移动安全解决方案凭借多年的加固经验,多次抵御移动应用免受用户隐私数据盗取,知识产权窃取、应用破解等。到目前为止,网易云易盾移动安全解决方案服务网易内部和外部的金融、游戏、社交、电商、邮箱和工具等各种类型的应用。以网易内部游戏《倩女幽魂》手游为例,游戏自2016年上线以来,一直使用易盾加固,游戏脚本安全,防止泄漏游戏重要逻辑代码,防止游戏客户端数据和速度被。
网易企业服务(是网易凭借其20年品牌优势与经验在企业邮箱的基础上,为进一步布局企业市场而打造的企业级产品矩阵,致力于提供一站式企业信息化解决方案。湖南领先网络科技是网易企业产品授权经销商,专业为企业提供网易企业邮箱、网易办公套件等一站式企业信息化专业解决方案。返回搜狐,查看更多
推荐:
网友评论 ()条 查看