移动安全加固助力 App 实现全面、有效的安全防护

本文涉及的产品
mPaaS订阅基础套餐,标准版 3个月
简介: 源自于阿里巴巴十余年沉淀,提升 App 整体安全水平

封面图1109.png

无论是 Android app 还是 Jar 应用,代码一旦分发出去,都会以某种形式处于不可信环境中,难免被有心人分析破解。隐藏在代码中的秘密,无论是私有算法,或是私有协议,或者是加解密秘钥,都可能被攻击者破解出来,然后侵犯原作者的商业利益或知识产权。所以应用被逆向破解是商业风险源头之一。

1:移动应用安全现状分析

根据工信部的数据显示,截止2019年,中国移动应用数量已经达到 450万个,其中游戏类、生活服务类、电子商务类 App 排名前三。

细分市场,我们再看下金融行业,根据信通院的数据,在2019年,针对国内 22777 款金融行业 App进行观测发现,仅 17.08% 金融行业 App 完成加固,而超过 80% 金融行业 App 在应用市场“裸奔”,未进行任何安全加固。通过金融行业这一个细分行业来看全行业,其他行业也有类似的问题。

我们再看监管政策:

对于金融行业——中国人民银行下发的了移动金融客户端应用软件安全管理规范,明确规范了移动 App 的安全加固要求。
对于教育行业——教育部下发的《关于引导规范教育移动互联网应用有序健康发展的意见》以及《高等院校管理服务类教育移动互联网应用专项治理行动方案》,发文明确提出教育App应当经过安全评估后方可上线,并及时通过安全加固修复安全隐患。

通过金融、教育行业的监管要求以及国家对于移动互联网的越来越重视大的背景,后续其他行业也会可能会陆续出台相关的安全政策要求。

3.png

2:全新移动应用安全防护策略

下面介绍下阿里内部移动安全防护策略升级迭代的过程。

在一代和二代的加固方案上,主要针对 APK 的加壳保护,对 dex 做隐藏,同时加密 dex,在运行时动态加载加密的 dex并做解壳操作。加壳加固的优势是不会增加应用的体积,同时dex被隐藏,可以对抗dex的静态分析。

随着攻击手段的不断升级,阿里移动安全加固进行了全新能力的升级。目前已发展到了第三代加固:Java字节码转换为 Native二进制码。

阿里内部加固的原则和目标秉承着既要充分提高自身安全能力,增加对手的破解难度和攻击成本,也要尽量降低业务方的接入成本,还要兼顾运行效率与体积。

应对的主要风险点:

  • Java/Smali 字节码被工具反编译为 Java 源码
  • Java/Smali 字节码被直接阅读
  • native 汇编码被工具反编译为 C 源码

Java 字节码因为格式和指令限制,安全保护能力是有上限的。但是,native 二进制码相对于 Java 字节码破解难度大大提高。于是我们将字节码转换为 native 二进制码,代码逻辑转移到 so 里面,原来是 Java 函数调用,现在变成了 JNI 调用。攻击者的 Java 逆向相关技能直接失效,被逼去逆向 native 二进制,而这个难度远远高于逆向字节码。

4.png

3:mPaaS 移动安全加固重磅上线

结合着阿里内部移动应用安全加固能力的升级,我们在 mPaaS 中对外正式上线移动应用安全加固能力。

针对市面上移动应用普遍存在的破解、篡改、盗版、钓鱼欺诈、内存调试、数据窃取等各类安全风险,mPaaS移动安全加固为 App 提供稳定、简单、有效的安全防护,提升 App 整体安全水平,力保 App 不被破解和攻击。

在应对 Android 常见的攻击手段,比如 反编译、二次打包、动态调试等的同时,我们也注重性能和兼容性。

  • 加固能力经历了淘宝、菜鸟等上亿业务的实践,在安全性上有保障;
  • 在兼容性上,我们支持 4.2 到 Android Q 的 版本;
  • 能够支持 arm、x86、x64 的系统架构,在复杂的环境下稳定运行,奔溃率低;
  • 另外,通过对于类的混淆保护,增加攻击者逆向 App 的难度,让攻击无从下手。

5.png

产品核心价值

通过前面的介绍,相信大家对于 mPaaS 移动应用加固有了一个初步的认识,下面总结下 mPaaS 移动应用安全加固的优势。

  • 操作简单,在控制台上上传加固包即可,开箱即用。开发同学、项目经理等都可以使用;
  • 高稳定性和高兼容性,崩溃率极低;
  • 经过淘宝等阿里系App的验证,在安全性上有保障;
  • 同时支持 Android 4.2 到 Android Q 的系统以及 arm、x86、x64的系统架构;
  • 另外,支持 Javabytecode 级别的混淆保护,增加攻击者逆向 App 的成本,最大限度的保障 App 的安全性。

6.png

移动安全加固能力清单

我们从反编译保护、防篡改保护、防调试保护等多个维度上做了安全性保障,针对 dex文件、so文件以及各种 hook框架都做了相应的安全策略,能力清单如下:

7.png

与此同时,mPaaS移动安全加固还完美兼容 mPaaS 的热修复能力,通过热修复能力,可以快速修复线上版本问题,不需要发版,保障业务的连续性,大家可以到 mPaaS 控制台体验热修复的能力。

性能表现

8.png

简单接入,特惠双11

移动应用安全加固,接入简单,只需 8 步即刻完成。而且在双 11 来临之际,mPaaS 移动安全加固将正式在阿里云上线,欢迎大家接入试用。

9.png

👉点我回看直播获取4.1折加固特惠


{9D20B6DF-33AD-4D62-8AA1-8F3A9E955E3B}.png.jpg

延伸阅读.png


动态-logo.gif
底部banner.png
关注公众号“mPaaS”,回复“安全加固”,获取完整 PPT 内容

访问2020阿里巴巴双11技术全观专题页,了解更多关于2020双11的技术干货内容

相关文章
|
7月前
|
监控 安全 数据可视化
【教程】为什么要为 App 应用加固 ?如何为 App 应用加固 ?
【教程】为什么要为 App 应用加固 ?如何为 App 应用加固 ?
|
7月前
|
JSON Dart 安全
Flutter App混淆加固、保护与优化原理
Flutter App混淆加固、保护与优化原理
125 0
|
7月前
|
移动开发 安全 开发工具
如何对APP进行安全加固
移动应用中存储着大量敏感数据,为了确保APP的安全性,除了定期进行安全检测外,还需要进行有效的安全加固工作,以防止二次打包、防止篡改、防止破解等各种安全威胁,并提前进行加密和加固工作,以保护开发者和用户的利益。
|
4月前
|
安全 Nacos 数据库
【技术安全大揭秘】Nacos暴露公网后被非法访问?!6大安全加固秘籍,手把手教你如何保护数据库免遭恶意篡改,打造坚不可摧的微服务注册与配置中心!从限制公网访问到启用访问控制,全方位解析如何构建安全防护体系,让您从此告别数据安全风险!
【8月更文挑战第15天】Nacos是一款广受好评的微服务注册与配置中心,但其公网暴露可能引发数据库被非法访问甚至篡改的安全隐患。本文剖析此问题并提供解决方案,包括限制公网访问、启用HTTPS、加强数据库安全、配置访问控制及监控等,帮助开发者确保服务安全稳定运行。
389 0
|
5月前
|
存储 安全 数据安全/隐私保护
移动APP安全加固技术深度解析
【7月更文挑战第12天】移动APP安全加固技术是保障移动应用安全的重要手段。通过对Android和iOS两大主流平台的安全加固,可以有效防止逆向分析、动态调试、数据篡改等安全威胁。在实际应用中,我们需要结合静态层面、动态层面和数据层面的加固技术,全方位地提升APP的安全性。同时,随着技术的不断发展,我们也需要不断关注新的安全威胁和加固技术,确保移动应用的安全性和稳定性。
|
7月前
|
安全 Java 数据安全/隐私保护
APP加固技术及其应用
在移动应用开发过程中,APP加固技术起到了非常重要的作用。APP加固是将apk文件进行混淆加密,以防止别人反编译获取我们的源码和资源文件。目前市场上主流的APP加固公司有三家,分别是梆梆加固、360加固和ipagurd加固。本文将介绍APP加固的概念、加固方案和比较,并探讨APP加固在实际开发中的应用。
|
7月前
|
存储 安全 开发工具
APP安全加固怎么做?加固技术、加固方法、加固方案
APP安全加固怎么做?加固技术、加固方法、加固方案
97 3
|
7月前
|
缓存 安全 Java
提高APP安全性的必备加固手段——深度解析代码混淆技术
提高APP安全性的必备加固手段——深度解析代码混淆技术
95 1
|
7月前
|
移动开发 安全 数据安全/隐私保护
【教程】APP 加固的那些小事情
【教程】APP 加固的那些小事情
|
7月前
|
监控 安全 测试技术
强化您的应用安全,从app加固开始
强化您的应用安全,从app加固开始
87 0

热门文章

最新文章