Android平台阿里云安全解决方案总结
阿里聚安全目前提供了安全扫描、安全组件、应用加固、安全审计、安全测试工具五种方案。
一、安全扫描
将APP提交到阿里服务器上,然后由阿里服务器进行安全扫描发现恶意代码、漏洞、仿冒应用等。结合静态污点分析技术和动态模糊测试技术,帮助开发者快速定位APP中潜在的安全漏洞和风险;Knight杀毒引擎,采用多种机器学习算法识别恶意应用,自动提取特征码,让恶意代码识别更智能更准确;监控300多个应用市场,通过应用图标与代码相似算法识别其中的仿冒应用,让仿冒应用无处遁形。
二、安全组件
在APP中接入安全组件sdk,在存储和传输敏感信息时,调用安全组件SDK中的代码,进行加密,使用时解密。防止应用被黑客或木马攻击、客户端机密信息泄漏、客户端请求伪造。安全组件涵盖Android和iOS平台;安全沙箱、白盒加密、底层加固,共同保证客户端数据安全;应用层、运行层、native层,多层次全方位立体防护;实时更新客户端模块,保证攻防对抗强度。
三、应用加固
将APP提交到阿里服务器上,阿里拿到APP后,在APP中嵌入部分防止反编译的代码,然后对代码进行混淆打包。可以提升安全等级,防止应用被逆向破解。防止通过apktool、dex2jar、jeb等静态工具来查看应用的java层代码;防止通过ida、readelf等工具对so里面的逻辑进行分析,保护native代码;防止对java层代码的内存dump、保护java层代码;通过修改java层业务逻辑的调用关系链, 保护业务逻辑;通过对java层代码的指令的二次翻译,保护某些核心函数的关键逻辑。
嵌入的的防止反编译的代码基本原理是:APP在反编译(破解)时,嵌入的防止反编译代码将反编译工具失灵,无法进行后续的反编译过程。
四、安全审计
需要向安全审计提供设计评审、渗透测试、应急响应等服务。对系统、协议、架构、数据使用等多个方面进行安全评估,避免线上问题;模拟黑客对上线后的应用进行安全测试,并全面审计应用的风险;安全事件应急处理,及时分析定位出现的安全问题,及时给出止血方案及长期有效的解决方案;基于互联网敏捷开发模式,提供安全编码规范、ASDL标准流程及规范、应用安全开发架构,有效防止真实的安全风险。
五、安全测试工具
目前只有iOS平台的,而且尚未开放,暂时无法拿到安全测试工具使用。
六、总结
第一、三、四种方案都需要提交APP;第二种方案,对我们而言安全组件就是一个黑盒子,通过调用阿里的安全组件sdk的代码,将需要保存到本地的敏感信息处理之后,获得处理后的信息保存到本地;第三种方案,可以自己嵌入防止反编译代码,对代码进行混淆处理,当然混淆处理的混效率未必有第三方的混效率高。
上述所有方案都不能从根本上解决APP安全问题,只能增加APP被破解的时间成本。
参考文献
