网易云易盾卓辉:如何实现移动APP安全隐患规避?
2016年中国信通院等机构联合发布《移动互联网金融APP信息安全现状白皮书》,其中抽取88个互联网金融类移动应用APP进行测试,最终发现敏感信息泄露、二次打包、代码可逆向、可调式等十大安全隐患。在监管部门要求下,如何在规避安全问题,成为移动APP越来越重视的问题。10月20日,FreeBuf企业安全活动上,网易云易盾移动安全技术专家卓辉受邀发表“移动互联时代APP的安全防护”的主题演讲,分享网易云安全在移动APP安全的实践经验。
FreeBuf企业安全活动现场
移动APP经常遇到哪些安全风险?
对于移动应用APP安全风险。网易云易盾卓辉提到,移动APP最常见的安全风险有:山寨APP、重打包、**、数据泄露、登录安全等风险。例如,移动APP山寨应用已严重危害正版应用,经有关部门统计,热门应用中平均有27个山寨APP。通常正版应用上线后,应用被解包逆向分析,从中找到核心功能实现,进一步拷贝代码进行简单开发,重新打包上架。
同时,移动APP也面临重打包风险,通过反编译工具向应用中插入广告代码与相关配置,再在第三方应用市场、论坛发布。对于打包党对于移动APP带来的危害有以下几种:
• 插入自己广告或者删除原来广告
• 恶意代码, 恶意扣费、木马等
• 修改原来支付逻辑
上述恶意行为严重危害移动产品和用户利益,同时也影响企业口碑。
关于移动APP**、数据泄露风险问题,卓辉以金融行业为例。众所周知数据是金融类应用产品重要资源之一,关乎企业生存与发展、但移动应用经常被**、数据被抓包,导致本地存储数据以及用户名、密码等重要信息泄露。下面举例说明数据泄露案例。
金融类本地存储数据泄漏
数据抓包,泄漏用户名和密码
如何解决移动APP安全风险问题?
基于多年的移动安全经验积累,网易云易盾在移动APP安全风险问题上,从起始的发到阶段、中间的测试阶段再到结尾发布阶段,针对移动APP全生命周期进行安全防护。
开发阶段——移动应用开发时接入安全组件,保护数据安全。其中,针对安全通信方面,实现数据高强度加密,结合传统的对称、非对称加密算法和hash算法,客户端加密数据只有认证服务端才能解密,从而防止了数据泄漏、数据窃取和篡改。另外,为了实现加强数据的安全强度,安全组件结合自适应特征算法和随机切换算法,保证不同时间、不同终端的算法和**的差异性。
测试阶段——对移动应用进行人工渗透测试,发现漏洞解决产品修复相关问题,包括:APP渗透测试和服务端渗透测试。
发布阶段——APP上架之前针对应用做安全加固,提高安全防护等级,上架之后做盗版监测。网易云易盾可针对dex文件进行加固防护,防止被静态反编译获取代码逻辑;保护应用在被非法二次打包后不能正常运行;防止通过使用调试器工具对应用进行非法**;提供自研高稳定的设备指纹,防止潜在的刷单风险;加密资源文件,防止apk资源文件被**;对so文件进行加固保护,防止native代码被逆向分析;对游戏提供加固保护,让游戏免受**、外挂等威胁。
除此之外,易盾还做了对iOS应用的保护,针对代码提供了加密、逻辑混淆和符号混淆等静态保护功能。另外,还针对动态保护,提供了反调试、反注入、防内存dump和防篡改等保护,通过这些保护可以有效防止**、篡改、敏感数据泄漏等威胁,有效保护开发者的知识产权。
最后,卓辉总结网易云易盾移动安全解决方案凭借多年的加固经验,多次抵御移动应用免受用户隐私数据盗取,知识产权窃取、应用**等威胁。到目前为止,网易云易盾移动安全解决方案服务网易内部和外部的金融、游戏、社交、电商、邮箱和工具等各种类型的应用。以网易内部游戏《倩女幽魂》手游为例,游戏自2016年上线以来,一直使用易盾加固,保护游戏脚本安全,防止泄漏游戏重要逻辑代码,防止游戏客户端数据和速度被篡改。感兴趣的朋友可点击这里免费试用。