导语:
中国移动互联网的发展已有10余年的历史了,2010年,随着智能手机兴起,安卓应用市场野蛮式生长,各种黑产满天飞。二次打包插入广告,修改官方应用种木马等现象数不胜数。2012年,厂商开始推出安卓加固服务,2015年,对于代码层面的保护,2018年,相比于x86环境,VMP保护方案也出现在Android上,移动应用安全一直在进行。
一、 什么是移动应用安全
移动应用安全一直是一个各方面需要重视的问题,从早期的二次打包批量插广告,伪造应用开始,安卓的安全性就开始受到各个安全厂商的重视。
早期,安卓应用的安全性是受到自身系统的拖累,不得不重视。相反在iOS上,虽然也会有一定的安全问题,但是没有安卓上那么的严重。
早期的安卓分发渠道真的是群魔乱舞,现而今受到各方面的监管,情况已经有所改善。但是也存在小白用户莫名其妙扫码下载、论坛下载一些乱七八糟的应用,最后导致自己中招了还不明白怎么回事的情况。所以移动应用安全问题已经刻不容缓了。
二、我国移动应用安全问题现状
随着移动互联网和数字化的深入发展,移动APP逐渐成为企业业务服务和办公协同的核心入口。与此同时,围绕移动APP的恶意攻击愈发猖獗。Proofpoint安全研究显示,进入2022年,移动应用恶意攻击量增加500%,呈现明显的激增态势。根据Atlas VPN的最新数据,63%的安卓APP包含已知的安全漏洞,每个APP平均包含39个安全漏洞,具有巨大的安全隐患。
三、指掌易移动应用安全解决方案
网络安全:网络安全一般分为四个部分:数据防泄露、请求防重放、内容防篡改、身份防伪装。
解决数据防泄露的关键在于一定要对数据进行加密处理。
请求防重放则可以通过请求时在参数中携带时间戳、随机数、流水号、“时间戳+流水号”这四种方式措施来予以防护。
内容防篡改需要我们对内容加盐哈希,再在服务端校验哈希值。
身份防伪装有两种解决方案。可以Token身份认证:给Token一个有效期,防止Token泄露之后,攻击者其可以长期非法调用。
数据安全:针对存储的安全防护,我们在数据落地的时候一定要进行加密处理,防止他人拿到重要的敏感数据。
代码安全:常见逆向工程套路主要分为三种:反编译、脱壳、动态分析。以下方式可以防止代码反编译:代码混淆、签名验证、利用反编译工具漏洞进行防护、加固。防动态分析则可以从反调试、反Xposed、反root三个维度进行入手。
设备安全:开发者可以通过检查设备所处的环境来判断设备是否处于异常的状态。如果设备状态异常,则很可能处于黑产工具的控制下。常见的黑产工具包括“手机卡商与接码平台”、改机工具、打码平台以及群控系统。
四、总结
现今移动互联网在国内也发展了几十年了,如今移动APP攻击日益猖獗,指掌易为移动开发者构筑一道安全屏障,无论现在黑产攻击造成资产或声誉损失的现场此起彼伏,设备风险控制任重道远。指掌易将持续不断打磨自身技术,帮助APP开发者有效识别风险设备、保障移动应用安全。
