隨著移動互聯網產業蓬勃發展,APP在企業中扮演了越來越重要的角色。有資料顯示,2014年,谷歌PlayStore的應用數量達到了143萬,首次超過AppleStore的121萬。而亞馬遜商店的應用數量也達到了39.3萬,排名第三。可見,越來越多的企業己經通過APP應用實現企業業務邏輯、核心經營業務邏輯等部署,完成了從PC向手機PAD等智能移動設備的遷移。移動辦公、移動交易己經成為企業必須部署的新方式。


1、背景和需求


具不完全統計,2013年至2016年企業APP開發市場規模將突破百億人民幣。企業APP給各大企業帶來很大的經濟效益的同時,核心的APP安全方面不容忽視。很多企業發現自己開發的APP被仿冒,被二次打包,甚至被加載惡意代碼在安卓市場上分發,為企業的信譽形象帶來不可估量的損失。同時針對金融,支付等敏感APP的釣魚、注入、竊取等攻擊也層出不窮,為企業的移動化,互聯網化發展蒙上了陰影。

如何保障企業的APP不被破解、山寨、釣魚或惡意利用,是每個向移動互聯網進軍的企業都要考慮的重要安全因素。為此啟明星辰推出的天鏡移動應用安全檢測加固系統,旨在針對移動應用的安全提供檢測加固一體化的產品和服務,解決企業在移動化,互聯網化上遇到的安全問題。


2、解決方案


2.1總體設計


為了保障移動應用的安全性,啟明星辰公司針對移動應用使用特點進行了大量的研究,針對移動應用系統(APP及其服務后臺系統)完整生命周期中遇到的各項風險進行評估,對可能遇到的攻擊手段進行預測,并以此構建了一套完善的安全防護體系,保護移動應用APP的安全及移動業務系統的安全。在依據“互聯網+”行動計劃的建設思想下,啟明充分利用先進的技術資源,提供對移動應用全生命周期的安全管控,避免企業數據泄露,避免移動應用被黑客攻擊插入惡意廣告、圖片等,避免用戶被手機病毒或被盜版應用欺騙、攻擊,保障終端用戶的安全,使這些移動應用更好的服務于各個層面的用戶群。


在移動應用的全生命周期過程中,對移動應用程序進行安全管理、檢測加固及監控,增加防逆向破解、防盜版、內存敏感數據防竊取等安全加固措施手段,以提高移動應用的安全水平,達到滿足移動應用對程序性能和安全強度的要求。移動應用安全防護需要從移動應用全生命周期各階段進行,包括設計開發、測試、上線、運維,每個階段都需要采取相應的安全防護措施,整體過程如下圖:




2.2移動應用安全服務


2.2.1安全檢測


啟明公司提供的安全檢測服務包括自動化檢測工具和人工檢測服務,其中人工檢測服務按照檢測深度分為常規檢測、專家級逆向分析與漏洞挖掘。


2.2.2安全加固


移動應用安全加固服務是在安全檢測服務的技術上,對移動應用的脆弱性、業務安全風險、內容安全問題以及缺陷漏洞等問題進行整改加固的服務。對已經開發設計完成的APP進行技術處理,使其具備更強安全防護能力的過程。安全加固主要針對AndroidAPP進行,廣義的說iOS安全編譯器及配套服務也可以稱為iOSAPP安全加固。啟明公司提供的APP安全加固服務方案同時支持Android和iOS兩大主流移動操作系統的APP,并提供多樣化的配套服務。


應用安全測試服務


啟明公司可以對外提供的測試服務種類:


lAPP系統兼容性與設備適配性測試,以下簡稱兼容性測試


lAPP運行性能測試,以下簡稱性能測試


lAPP運行穩定性測試,以下簡稱穩定性測試


lAPP功能有效性測試,以下簡稱功能有效性測試


對測試服務有更高要求的客戶,啟明公司可提供額外的增值測試服務。一方面增加測試服務的頻次,另一方面可以增加測試的項目,支持客戶指定測試用例以及對原包(開發完成后未加固的APP)做完整的兼容性、性能、穩定性、功能有效性測試。


2.2.3移動應用渠道監測


渠道監控服務是啟明公司針對目前國內AndroidAPP發布渠道過,市場發布渠道APP來源不確定的特點而提供的監測服務。主要監測市場發布渠道中出現盜版、破解、釣魚、仿冒等情況,同時提供監測預警、渠道風險評估、盜版APP下架等服務。


2.2.4移動態勢感知


移動態勢感知主要是通過數據分析套件產品實現,產品致力于構建立體式的移動應用態勢呈現方式,采用大數據信息采集、用戶行為分析匹配及建模、機器學習算法研究等尖端技術,對當前的設備環境進行嚴格而全面的監控排查,保證其運行環境的安全性;量化用戶的日常操作行為,為開發者完善APP功能及深入挖掘潛能提供有效參考;形象描繪用戶及相關群體,為開發者的后續服務及市場定位提供準確的指導。


2.2.5應急保障服務


運營階段APP在上線公開發布后,任何使用者都可以隨意下載,這其中就包括APP最大的安全威脅來源黑客和黑產從業者。APP開發設計的初衷是為了解決實際的業務問題,然而黑客和逆向破解者并不會以正常用戶的方式來使用APP,而是想盡一切辦法找出APP的風險和漏洞,并加以利用達到從中獲利的目的。APP在運營階段通常會遭到如下的黑客攻擊:反編譯分析、功能篡改后運行、二次打包盜版發布、逆向分析核心業務邏輯、動態調試工具、運行時篡改關鍵業務數據、通訊抓包分析、脫殼攻擊、仿冒釣魚等。啟明公司提供運營階段介入的安全產品可針對以上各項風險進行防護,有效提升APP在運營階段的安全防護等級。


3、服務收益


3.1產品價值


移動應用安全全產品解決方案針對移動應用現有未來業務中可能存在的安全風險進行了詳細的分析,并針對所可能出現的風險,提供修復建議及方案,使移動安全應用形成閉環,幫助客戶在移動應用設計、開發、上線、運營等環節中進行有效的安全防范,提升客戶移動應用安全體系的整體安全,使移動應用合規、合法、可靠、可信。


3.2技術優勢


3.2.1特有的動態APP安全檢測引擎


啟明自主研發的動態APP安全檢測引擎包含動態運行分析及服務端滲透測試兩個測試功能。通過以上檢測手段,能夠達到針對APP的客戶端安全性、敏感信息保護機制和其他方面的安全進行全方位的安全測試的目的。


3.2.2高安全性的分布式加解密技術


提供類多重保護技術,通過靜態先抽取DEX中code段,并且加密抽取出的code段,形成被抽空保護的DEX文件;動態內存解密、加載、動態回填、運行加密后DEX文件的保護方式,這種保護方式避免了系統生成臨時的DEX緩存文件,并且有效的屏蔽逆向破解者通過靜態反匯編閱讀代碼指令的可能,并且也在一定程度上防止了內存dump。


3.2.3獨有的MMS融合技術


so融合方式可以融合兩個或者多個so合并為一個so文件,使得殼代碼以so的形式融合到行方的so中,并且可以實現用高級語言書寫殼代碼的功能。如果客戶有技術基礎,只需遵循啟明星辰的接口協議,即可自行定制書寫so殼代碼,因客戶自行書寫殼代碼的實現邏輯,更利于殼代碼自身的安全性,,啟明星辰只負責so融合。


算法加密庫深度定制,有開發能力的客戶可以根據自己的需要定制書寫加解密算法,只需遵循啟明星辰的接口協議。實現算法邏輯及秘鑰是掌握在客戶手中的,啟明星辰只負責融合。


3.2.4高兼容性的安全加固技術


DEX的這種加固方式,經過實際大量數據測試表明,對apk整體的兼容性可以保證,并且支持大多數雜牌機和深度定制的機型,android系統版本包括2.3~6.0