阿里在移动APP安全上的解决方案|学习笔记

开发者学堂课程【互联网安全-移动APP漏洞风险与解决方案：阿里在移动APP安全上的解决方案】与课程紧密联系，让用户快速学习知识

课程地址：https://developer.aliyun.com/learning/course/357/detail/4194

阿里在移动APP安全上的解决方案

内容介绍：

一、移动APP安全上的解决方案

二、效果展示

一、移动APP安全上的解决方案

安全沙箱

保护应用密钥、以及整个加密、加签流程的安全。

静态防护

安全编译器、字符串混淆、控制流混淆、指令插花、指令乱序。

运行时防护

反调试（收集进程名称和进程状态，依靠维度来提升安全性）、反注入、反 hook、防篡改、反内存窃取。

加密加签中心

AES 加密、HMAC-SHA1、签名动态存储、白盒加密、白盒签名。

安全储存

密钥存储、隐秘数据存储、专有文件格式、配置可扩展、应用绑定。

数据安全 API

安全加密：保证密钥安全和加密过程安全

安全签名：保证客户端与服务端通信请求不被伪造

安全存储：第三代独立安全存储，保证客户端数据存储安全。

应用环境安全

1.模拟器检测

基于 CPU 架构、通用检测模型

2.实时监控

Root 设备、模拟器、应用篡改、调试、注入、Hook

3.业务风控

端与云的联合安全风控

4.安全组件

完整的应用安全解决方案，涵盖了应用的所有安全场景，端到云的整体防护。

5.业界领先的安全技术

安全沙箱、白盒加密

6.亿级别的稳定性和适配

亿级别的客户量、多次双十一考验

安全加固

由于 Android 的 java 代码和 iOS 的 oc 比较容易被逆向，很多开发者将核心逻辑用 native C 编写，但其实未经保护的 native 指令也是很容易逆向的。

我们这套新方法融合了混淆、指令插花、乱序、扭曲变形技术，提升指令的安全级别。接入便利，只要输入核心源代码，输出编译好的 so。

二、效果展示

可以看到清晰的代码逻辑

可以看到函数调用情况，代码逻辑都被隐藏，对方法名也做了相应保护。