北京梆梆安全科技有限公司-国内亚博体育苹果版行业移动端安全态势
来源: 中国亚博体育苹果版与采购网 |   日期:2019-8-07 20:57    adminli   查看(1)

摘要

“移动亚博体育苹果版”作为“智慧亚博体育苹果版”产物之一,充分运用信息化手段和现代化方式,能够对亚博体育苹果版市场做出快速反应,对亚博体育苹果版资源进行全方位整合,实现了亚博体育苹果版信息系统的移动化。但从其发展至今,移动应用安全危机四伏,企业压力与移动应用安全隐患并行,移动端安全建设应高度关注。

国内App安全态势

互联网技术的发展改变了各类社会组织的经营和运作方式,提升了整个社会的运转效率,同时也让原本封闭在机构内部的资产暴露在复杂的网络环境中。

现今,Android系统开源性带来的缺陷给移动端App带来较大的安全风险,同时国内应用市场监管缺失,使得Android市场门槛较低,如山寨应用、隐私盗取、资费消耗、恶意扣费、远程控制、窃取资金、恶意传播、静默下载、跨平台感染等安全问题和攻击行为变得越发普遍。与此同时,iOS客户端也存在大量源代码泄露、核心算法被非法窃取等安全风险。

亚博体育苹果版行业App安全挑战与应对

“移动亚博体育苹果版”促进亚博体育苹果版移动应用数量及用户数量快速增长。同时对于亚博体育苹果版应用安全也提出更高要求。亚博体育苹果版行业的企业目前都有属于自己移动应用,面对层出不穷的攻击手段,需要对其进行安全建设,做好自身安全防护。

梆梆安全交通部安全小组针对亚博体育苹果版行业移动应用系统目前的安全需求内容总结如下:

① App代码需要做相应安全防护。目前大多数亚博体育苹果版App只做简单混淆处理,App代码仍然面临易被反编译、易被二次打包、易被动态注入、易被动态调试等攻击。

② App接口需要相应安全保护。目前亚博体育苹果版App未对接口进行保护,接口易被恶意调用、易通过接口逆向分析获取App业务逻辑。

③ App数据需要相应安全保护。目前亚博体育苹果版App只做普通数据加密,仍存在易被获取传输路径的重要数据、易获取App关键内容包括(用户名、密码、**号等)。

④ App密钥需要相应安全保护。对于亚博体育苹果版App内关键加密算法的密钥保护困难。

梆梆安全深入构建亚博体育苹果版行业移动安全建设方案

针对亚博体育苹果版App目前的安全现状及安全分析,梆梆安全科技有限公司以亚博体育苹果版App实际需求为出发点,进行以下安全需求响应:

安全建设框架

目前梆梆安全已为国内百分之五十以上主流亚博体育苹果版企业提供了移动端安全建设方案,根据安全行业经验以及结合目前亚博体育苹果版应用安全状况。得出为保证业务连续性,亚博体育苹果版行业移动应用应注重整体移动应用系统安全建设。

对亚博体育苹果版行业移动应用系统将以先进安全防护模型PPDR为基础,建立针对性的安全解决方案,涵盖了移动端安全、传输安全、服务端接口安全三模块内容。

梆梆安全保护框架对应内容如下:

安全加固:Android加固、iOS加固;

安全保护:密钥白盒;通讯协议保护

安全检测:渗透测试;

感知响应:威胁感知系统。

安全建设目标

梆梆安全为亚博体育苹果版行业提供针对性移动端安全解决方案所达到的目标如下:

第一,对App进行安全加固,可以有效防止移动应用被破解、盗版、二次打包、注入、反编译等,保障App代码的保密性、完整性。

第二,对关键函数所用的加密算法密钥进行密钥白盒保护,保障原始密钥安全性。

第三,对传输数据进行二次加密,不仅保障传输数据安全也保障了协议安全。

第四,对服务端接口及整个应用系统进行渗透测试,以业务逻辑为主线,深层次发现存在的安全漏洞。及时发现、及时整改,避免引入安全隐患导致安全事件发生。第五,对App上线后进行运行监测和威胁检测,及时掌握App上线后的安全状况。为企业提供相关威胁情报信息,并对威胁源进行精准定位和控制。

安全建设内容

1.Android加固(Policy)

目前,亚博体育苹果版行业App仍然存在应用破解、动态调试的安全风险,通过使用梆梆Android加固,内嵌安全组件和安全加壳,从根本上解决Android应用的安全缺陷。建议进行Android客户端的应用加固安全防护,实现Android应用App的完整性、反调试、Java反编译、so库加密、本地数据加密、资源文件安全防护,有效防止Android应用App二次打包、篡改及破解等客户端风险。加固基于Android APK安装包来实施,从静态安全、动态安全、交易验证安全,据安全、发布完整性保护等方面做加强保护.内容如下:

1.借助于重新构建的虚拟机技术,实现执行代码动态加密

2.多方位的动态防御技术,保证运行时间安全逻辑不可篡改

4.完整性保护技术保证发布包不可被篡改

5.透明化数据加密方案保护本地数据安全

对于自身的保护代码采用高强度的商业级源代码混淆方案进行保护,包括但不限于业务逻辑高强度混淆,插入垃圾指令,插入花指令等借助于App加固所构建的整体安全沙箱,让原本开放的App变成完全封闭的私有程序。

2.iOS客户端源代码安全防护(Policy)

建议进行iOS客户端源代码混淆加固防护,有效防止iOS客户端被破解、调试等安全风险,避免核心源代码、核心业务逻辑、关键算法被非法窃取。目前,逆向工程主要通过借助工具对应用软件可执行文件进行反编译、反汇编、通过静态分析,动态调试来分析应用程序的业务逻辑或接口数据。

梆梆源码加固系统通过服务器上的混淆器实现源代码级混淆,核心算法完成控制流平坦化(Controlflow flatterning)和不透明谓词(Opaque predicate)。梆梆安全源码加固方案是通过代码混乱变形(Obfuscate),隐藏程序原始的控制流,使程序各部分逻辑结构相似,从而有效阻止攻击者使用逆向工具还原出业务逻辑或核心算法。

3.通讯协议保护(ptotection)

梆梆安全移动应用通讯协议保护方案,通过客户端与服务器的双重验证及保护,使攻击者无法仿冒和盗用合法客户端与服务器进行交互通讯,为开发者提供了一种简易、快速、全面的通讯协议保护方案。

梆梆安全通讯协议保护,提高数据加密完整性、保护密钥安全性、同时进行身份验证,具体功能点如下所示:

提供较高的安全性保证。

密钥多变性。

集成简单。

报文监测。

源代码安全性高。

4.密钥白盒系统(Protection)

对于本地存储的所有密钥,核心业务逻辑以及一些token,一旦被攻击就等于获取到了App核心的业务和用户敏感信息。不仅导致企业利益损失也导致用户个人敏感信息泄露。

在移动端和服务端传输过程中,传输中的数据未做保护,攻击者及其容易发起攻击,包括但不限于以下:

重放攻击会导致服务器消耗;

短信轰炸会影响用户体验消耗数据流量;

钓鱼攻击发送恶意链接;

数据篡改将内容篡改发送虚假信息等。

目前亚博体育苹果版App最为主要的核心资源为主要业务数据和各种敏感数据信息,建议采取白盒密钥保护技术实现在程序运行的任何阶段,原始密钥信息以一个巨大的查找表的形式存在,即只能输入明文得到密文,或者相反操作得到明文。在这样的情境下,入侵者无法得到隐藏在查找表背后的密钥,从而保证了信息的安全。 能够保障终端环境(如 Andriod、iOS)在这种白盒环境下,即使遭受到白盒攻击的情况下加解密的密钥不会出现明文,有效的保障密钥安全,进而保护软件及数据的安全。

使用密钥白盒系统结合应用加固能够保证应用接口安全、应用中核心数据,同时能够对传输过程中重要数据及加密算法的密钥做保护。使得应用接口安全、数据安全、传输安全,将切实可行的做好安全建设。

5.移动应用渗透性测试(Detection)

现实世界中企业面临的安全威胁种类繁多。但真正的危险,是企业以为自己本身足够安全,殊不知威胁早已渗入内部,伺机而动。伴随着安全行业的发展和管理人员安全意识的提高,以渗透测试为代表的“安全服务”正在得到更多的认可。渗透测试所做的,就是在危险真正影响到企业安全前,发现并解决它。

建议引入渗透测试,确保程序在编码、实施、测试中没有安全方面的缺陷,保证所有在需求设计阶段引入的安全需求都被正确实现,并挖掘可能存在的安全漏洞,实现代码层面漏洞的挖掘及整改,避免因为代码设计阶段存在的逻辑漏洞引起后续业务实现中数据泄露、数据盗取、逻辑调试等安全风险,实现服务端身份认证保护、权限管理保护、服务访问保护等安全防护。

6.威胁感知系统(Response)

收藏此页】 【推荐】 【举报】 【
现在有0人对本文发表评论

陕西公路养护管理工作西部?

在今年全国干线公路养护管理检查中,交通运输部检查组高度赞扬“十...[详细]

网络亚博体育苹果版 | 联系我们 | 服务条款 | 广告服务 | 友情链接 | 客服中心 | 站点地图
京ICP备10008850号-2 | 京公网安备110102004795-1
? 2009-2010 中国网络亚博体育苹果版. All Rights Reserved
中国网络亚博体育苹果版 版权所有