手机已经成为日常生活、工作不可或缺的工具,因此,网络犯罪分子只要发现移动设备漏洞,就有机会攻击规模庞大的人群。移动App是业务安全的重灾区。实战中发现,不少金融App还是会把VPN连接等敏感信息加壳存放。
移动App防护手段主要有Dex加壳保护、内存防Dump保护、资源文件保护、防二次打包以及防调试保护等,特别是金融和游戏领域的防御战场很多转向移动App端,从源头开始。我们可利用阿里云的游戏盾(Game Shield)和SDK,实现发起客户端的准入,较彻底地解决App类业务的DDoS/CC攻击问题。
移动App的安全主要涉及应用程序安全、身份认证与授权、客户端安全等,主要安全功能如下。
1)安全加固和防护:对移动App的二进制代码进行分析,识别出可能存在的安全漏洞,例如逆向破解等。移动App需提供代码混淆、加密、防篡改等功能,以提高安全性。
2)安全组件:推荐金融交易类App使用安全组件(安全键盘、数据加密、反劫持、防盗用)。安全键盘等可以更好地保障用户的财产和隐私安全,例如交易确认口令输入是通过随机绘制的键盘,用户点击的时候记录坐标位置,加密传到后台,后台再解密出对应的输入。
3)沙箱技术:使用沙箱技术对App进行隔离运行,检测和拦截App中的恶意行为,如恶意代码、钓鱼链接等,防止给设备造成危害。
移动App的安全厂商主要负责提供移动App的安全检测、威胁情报、安全加固等相关服务。许多App的安全架构方案,如反编译和防调试,会牵涉很强的安全对抗,专业性极强。一般的App客户端开发人员不具备这种能力,尤其在中小企业,建议使用商业的App安全加固方案。
国际上,MobSF是移动安全测试比较好的综合平台,可以对Android App、iOS App、Windows App进行动静态测试及恶意安全测试。
国内的爱加密主要业务包括移动应用安全、移动设备安全、物联网安全等。