近日,中国信通院发布了一份《2019金融行业移动App安全观测报告》,近13万个金融类APP中,70%以上存高危漏洞。如何在规避移动APP安全问题,已经成为越来越被重视的问题。本文分享了移动APP开发时如何规避安全隐患。
1.移动APP常见的安全隐患有哪些?
移动APP常见的安全风险有:山寨APP、二次打包、恶意程序植入、破解、 隐私泄露 、登录安全等风险。通常正版应用上线后,应用被解包逆向分析,从中找到核心功能实现,进一步拷贝代码进行简单开发,重新打包上架。
移动APP也面临重打包风险,通过反编译工具向应用中插入广告代码与相关配置,再在第三方应用市场、论坛发布。对于打包党带来的危害有以下几种:
插入恶意广告;
恶意程序植入、恶意消耗、木马等;
修改原来支付逻辑;
移动APP攻击者画像
上述恶意行为严重危害移动产品和用户利益,同时也影响企业口碑。 以金融行业为例。众所周知数据是金融类应用产品重要资源之一,关乎企业生存与发展、但移动应用经常被破解、数据被抓包,导致本地存储数据以及用户名、密码等重要信息泄露。下面举例说明数据泄露案例。
2.移动APP开发如何规避安全隐患?
针对移动APP常见的安全风险问题,基于网易多年的移动安全经验,网易易盾提供移动应用全生命周期解决方案,移动APP全生命周期进行安全防护。
设计开发阶段:移动应用开发时接入安全组件,保护数据安全。针对安全通信方面,实现数据高强度加密,结合传统的对称、非对称加密算法和hash算法,客户端加密数据只有认证服务端才能解密,从而防止了数据泄漏、数据窃取和篡改。另外,为了实现加强数据的安全强度,安全组件结合自适应特征算法和随机切换算法,保证不同时间、不同终端的算法和密钥的差异性。
应用测试阶段:对移动应用进行人工渗透测试,以攻击者视角,模拟黑客攻击过程,对APP(Android、iOS)客户端以及对应的服务端进行深入探测,找出应用系统中存在的缺陷和漏洞,及早预防。
上线发布阶段:APP上架之前进行针对性应用加固,全面提升APP安全防护等级,上架之后做盗版/仿冒监测。网易易盾可针对dex文件进行加固防护,防止被静态反编译获取代码逻辑;保护应用在被非法二次打包后不能正常运行;防止通过使用调试器工具对应用进行非法破解;提供自研高稳定的设备指纹,防止潜在的刷单风险;加密资源文件,防止apk资源文件被破解;对so文件进行加固保护,防止native代码被逆向分析;对游戏提供加固保护,让游戏免受破解、外挂等威胁。
Android应用加固
另外,网易易盾还进行对iOS应用的保护,针对代码提供了加密、逻辑混淆和符号混淆等静态保护功能。针对动态保护,提供了反调试、反注入、防内存dump和防篡改等保护,通过这些保护 大大提高了破解者破解的难度。
3.总结:
构筑好企业的移动APP的安全不仅仅是维护平台自己的利益和核心竞争力,某种程度上也成了企业的生命线。企业在提升APP安全性时,要选择靠谱的第三方移动安全服务。
相关阅读: