伴随着移动应用开发技术的飞速发展,手机APP早已成为了人们生活中密切相关的一部分,同时移动APP安全问题也越发突出,恶意破解、盗版、核心代码被窃取、恶意代码注入、APP劫持、数据泄漏、移动业务攻击等,各种状况层出不穷,因此移动APP的安全问题需要得到高度重视。本文主要介绍移动APP目前遇到的山寨危险、重打包风险、破解/数据泄露、以及登录安全等风险。
1.山寨危险
APP被山寨的问题
由来已久,实际上,大部分APP都有过被仿冒的经历。据统计,热门应用平均有27个山寨APP,严重影响APP开发者和用户的利益。如下图所示,通过解包、逆向分析、代码拷贝、简单开发并打包就可以完成山寨APP应用上架,由于APP山寨产业比较暴利,大批开发者趋之若鹜,仿冒形式也是多种多样。
山寨APP上架流程
2.破解、数据泄露风险
金融、支付类App一直是数据泄露的重灾区,多达88%都存在内存敏感数据泄露问题。如下所示,即为常见的金融、支付类本地存储数据泄漏。
数据泄露案例
数据抓包,泄漏用户名和密码也是常见的状况之一。
3.二次打包风险
通过破解正版的APP进行二次打包上传至应用商城。这种仿冒形式成本低廉、操作简单,“打包党”们通过反编译工具向应用中插入广告代码与相关配置,再在第三方应用市场、论坛发布。常见的操作手段比如插入自己广告或者删除原来广告、通过恶意代码恶意扣费或插入木马、修改原来支付逻辑等等。
二次打包严重危害产品和用户的利益,对公司的口碑产生极度恶劣的影响。
神庙逃亡被二次打包图示
4.登录安全风险
登录安全风险主要有界面劫持风险和键盘记录风险。
5.其他未知风险
技术的发展速度是超乎人们想象的,在未来,开发者可能面临的安全问题:
合规类的安全问题;
APP漏洞风险存在;
身份认证类的安全问题;
敏感数据泄漏问题;
IoT设备安全问题;等等等
6.结语:
针对移动APP常见的安全风险问题,网易易盾提供业内领先的APP加固技术,加固精度细化至函数级,针对各种各样的破解技术,易盾投入大量的研发精力不断迭代加固技术,全面提升移动APP的安全等级。点击免费试用网易易盾APP加固服务。