安全現狀
由於Android開源的環境,導致Android的整體環境都存在很多不安全的因素,同時使用者在移動APP客戶端的便捷應用,也給使用者帶來了巨大的安全隱患。未經過安全加固的APP存在被靜態反編譯、惡意篡改、二次打包、動態釣魚攻擊等多個安全隱患。靜態破解可讓黑客直接逆向出客戶端所有的功能程式碼、加密演算法以及與伺服器通訊的相關方法及URL等敏感資訊。黑客可以隨意進行惡意程式碼注入、篡改欺騙使用者甚至攻擊伺服器;動態攻擊可讓黑客進行相關敏感資料的竊取,如使用者核心賬戶資訊、伺服器端相關資訊等。
谷歌公司雖然從硬體方面強化裝置安全性,通過 TrustZone 來實現他們的目的。TrustZone 是系統核心中的一個獨立於核心中其它部分工作的特殊部分,負責處理最重要和敏感的操作(比如資料加密)。安全性得到一定的提升,使用者將可以在裝置上執行裝置認證、裝置完整性檢查、裝置繫結以及其他複雜的操作。但是 Android 在安全保護方面依然一直受限,因為其對潛在的整合缺少控制權。而且安卓系統的破碎性也讓使用者更難獲得最新的系統更新。
加固產品推廣目的
——為移動應用提供更安全的保護
移動應用的安全問題主要來自應用本身漏洞、開發環境病毒、第三方可疑外掛、“黑客”惡意攻擊四個方面。
開發者在面對這些問題時,只要設計合理軟體架構和編寫嚴謹的邏輯程式碼基本可以避免應用本身漏洞,其次使用正版或者未被篡改過的開發工具即可避免開發環境中的病毒。關於第三方可疑外掛,建議從官網渠道下載,另外一定要閱讀其程式碼中是否存在惡意程式碼。關於第四點必須採取針對性的措施,瞭解攻擊者是如何逆向分析移動應用,以及其突破點是什麼。然後針對該突破點做安全保護,才能有效的達到理想的保護效果。
但是在實際的開發過程中,因專案開發緊急或者開發者能力有限,造成移動應用存在諸多漏洞,無意給攻擊者留下後門。另外在國內下載國外開發工具時很慢或者根本無法下載,因此依舊會選擇下載國內非官網的資源。加上逆向破解門檻很高,普通開發者即使有心做好,也無力做到。
面對這種情況,看雪安全推出供應商的加固工具,幫助iOS和Android開發者對其移動應用做安全加固處理,防止攻擊者的逆向分析、除錯、反編譯、反彙編和二次打包等惡意行為。
Android加固產品
加固項功能介紹:
1、原始碼保護
2、Dex檔案保護
名詞解釋:DEX是Android應用的可執行檔案,包含有Java編譯後的邏輯程式碼。
功能詳解:對DEX檔案做加密和隱藏處理,執行時再動態解密出來。防止攻擊者使用dex2jar、Apktool等破解工具對移動應用做逆向解析處理,從而有效的保護Java原始碼的安全性。
所用技術點:函式體顆粒抽離技術、VMP虛擬化技術。
加固方式:靜態加密,即只需提交.apk檔案
3、So檔案保護
名詞解釋:SO是Android平臺下的動態連結庫,通常將核心業務邏輯程式碼編寫到SO檔案中。
功能解釋:對SO檔案做加密和自定義載入處理,除此之外還會對SO檔案中字串加密和程式碼混淆處理,層層防止攻擊者提取SO檔案和對其二進位制程式碼做反編譯和反彙編處理。
所用技術點:so檔案加殼、C/C++原始碼混淆。
加固方式:so檔案靜態加殼、即只需上傳.so檔案,C/C++原始碼混淆,需要使用安全編譯外掛。
4、C/C++程式碼混淆
名詞解釋:將程式碼中的函式結構體複雜化,轉換為功能等價邏輯程式碼,但是混淆後的程式碼難以閱讀和理解。
功能詳解:對Objective-C、C、C++編譯後的Native程式碼進行程式碼混淆處理,被混淆過後的程式碼中存在多餘程式碼、怪癖語法、冗餘邏輯判斷,冗餘函式呼叫等難以閱讀和理解的程式碼,讓攻擊者無法反編譯,從而有效的保護原始碼安全。程式碼混淆是一個非常強大實用的功能,結合符號混淆、字串加密和反除錯機制等功能,對應用安全要求很高的場合也能完全勝任。
動態保護:
1、動態攻擊檢測
動態檢測機制能夠動態校驗關鍵程式碼片段,感知應用程式造成的注入、Hook、篡改、除錯、以及手機是否Root等攻擊行為,並根據指定的策略做出相應的響應,比如退出、傳送攻擊行為資料到雲監控平臺。
2、反除錯保護
反除錯保護包括動態注入、動態除錯、記憶體保護(記憶體資料讀取、修改)、記憶體dump、模擬器、修改器等,反除錯機制能夠有效拒絕除錯工具的附加操作,阻止偵錯程式對移動應用除錯分析其業務邏輯程式碼。
應用完整性保護:
1、簽名完整性驗證
對簽名檔案MD5值進行完整性校驗保護,一旦更改簽名,程式將不會被啟動(遊戲使用者採用白名單形式,可以更改CP簽名)。
2、資原始檔完整性校驗
根據原始應用的MD5、SHA1、SHA256值來校驗此檔案是否被篡改過,防止攻擊者篡改檔案,然後二次打包釋出到應用市場上,影響使用者的體驗和應用的運營。
產品優勢
優勢一:深度程式碼級加密,支援native 全平臺和架構程式碼虛擬化技術。
優勢二:支援離線加密工具,安全且操作簡單。
優勢三:程式碼加密支撐,少量加殼技術,相容性更高。
聯絡我們
聯絡人:萬嗣超
QQ:882704
電話:13611684418
郵箱:service@pediy.com
公司地址:上海自由貿易試驗區張衡路 666 弄 1 號樓 601 室