购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

2.10 移动App安全

手机已经成为日常生活、工作不可或缺的工具,因此,网络犯罪分子只要发现移动设备漏洞,就有机会攻击规模庞大的人群。移动App是业务安全的重灾区。实战中发现,不少金融App还是会把VPN连接等敏感信息加壳存放。

移动App防护手段主要有Dex加壳保护、内存防Dump保护、资源文件保护、防二次打包以及防调试保护等,特别是金融和游戏领域的防御战场很多转向移动App端,从源头开始。我们可利用阿里云的游戏盾(Game Shield)和SDK,实现发起客户端的准入,较彻底地解决App类业务的DDoS/CC攻击问题。

2.10.1 移动App的安全功能

移动App的安全主要涉及应用程序安全、身份认证与授权、客户端安全等,主要安全功能如下。

1)安全加固和防护:对移动App的二进制代码进行分析,识别出可能存在的安全漏洞,例如逆向破解等。移动App需提供代码混淆、加密、防篡改等功能,以提高安全性。

2)安全组件:推荐金融交易类App使用安全组件(安全键盘、数据加密、反劫持、防盗用)。安全键盘等可以更好地保障用户的财产和隐私安全,例如交易确认口令输入是通过随机绘制的键盘,用户点击的时候记录坐标位置,加密传到后台,后台再解密出对应的输入。

3)沙箱技术:使用沙箱技术对App进行隔离运行,检测和拦截App中的恶意行为,如恶意代码、钓鱼链接等,防止给设备造成危害。

2.10.2 移动App安全产品

移动App的安全厂商主要负责提供移动App的安全检测、威胁情报、安全加固等相关服务。许多App的安全架构方案,如反编译和防调试,会牵涉很强的安全对抗,专业性极强。一般的App客户端开发人员不具备这种能力,尤其在中小企业,建议使用商业的App安全加固方案。

国际上,MobSF是移动安全测试比较好的综合平台,可以对Android App、iOS App、Windows App进行动静态测试及恶意安全测试。

国内的爱加密主要业务包括移动应用安全、移动设备安全、物联网安全等。 lfO3CqzFvgJ3kVq4FAzha+ZxEgHYL9WI6+IhZAp+rcFBvMVLHg5iKqoB01MN4u3Q

点击中间区域
呼出菜单
上一章
目录
下一章
×