2016年中国信通院等机构联合发布《移动互联网金融APP信息安全现状白皮书》,其中抽取88个互联网金融类移动应用APP进行测试,最终发现敏感信息泄露、二次打包、代码可逆向、可调式等十大安全隐患。在监管部门要求下,如何在规避安全问题,成为移动APP越来越重视的问题。10月20日,FreeBuf企业安全活动上,网易云易盾移动安全技术专家卓辉受邀发表“移动互联时代APP的安全防护”的主题演讲,分享网易云安全在移动APP安全的实践经验。

FreeBuf企业安全活动现场

移动APP经常遇到哪些安全风险?

对于移动应用APP安全风险。网易云易盾卓辉提到,移动APP最常见的安全风险有:山寨APP、重打包、破解、数据泄露、登录安全等风险。例如,移动APP山寨应用已严重危害正版应用,经有关部门统计,热门应用中平均有27个山寨APP。通常正版应用上线后,应用被解包逆向分析,从中找到核心功能实现,进一步拷贝代码进行简单开发,重新打包上架。

同时,移动APP也面临重打包风险,通过反编译工具向应用中插入广告代码与相关配置,再在第三方应用市场、论坛发布。对于打包党对于移动APP带来的危害有以下几种:

•       插入自己广告或者删除原来广告

•       恶意代码, 恶意扣费、木马等

•       修改原来支付逻辑

上述恶意行为严重危害移动产品和用户利益,同时也影响企业口碑。

关于移动APP破解、数据泄露风险问题,卓辉以金融行业为例。众所周知数据是金融类应用产品重要资源之一,关乎企业生存与发展、但移动应用经常被破解、数据被抓包,导致本地存储数据以及用户名、密码等重要信息泄露。下面举例说明数据泄露案例。

金融类本地存储数据泄漏

数据抓包,泄漏用户名和密码

如何解决移动APP安全风险问题?

基于多年的移动安全经验积累,网易云易盾在移动APP安全风险问题上,从起始的发到阶段、中间的测试阶段再到结尾发布阶段,针对移动APP全生命周期进行安全防护。

开发阶段——移动应用开发时接入安全组件,保护数据安全。其中,针对安全通信方面,实现数据高强度加密,结合传统的对称、非对称加密算法和hash算法,客户端加密数据只有认证服务端才能解密,从而防止了数据泄漏、数据窃取和篡改。另外,为了实现加强数据的安全强度,安全组件结合自适应特征算法和随机切换算法,保证不同时间、不同终端的算法和密钥的差异性。

测试阶段——对移动应用进行人工渗透测试,发现漏洞解决产品修复相关问题,包括:APP渗透测试和服务端渗透测试。

发布阶段——APP上架之前针对应用做安全加固,提高安全防护等级,上架之后做盗版监测。网易云易盾可针对dex文件进行加固防护,防止被静态反编译获取代码逻辑;保护应用在被非法二次打包后不能正常运行;防止通过使用调试器工具对应用进行非法破解;提供自研高稳定的设备指纹,防止潜在的刷单风险;加密资源文件,防止apk资源文件被破解;对so文件进行加固保护,防止native代码被逆向分析;对游戏提供加固保护,让游戏免受破解、外挂等威胁。

除此之外,易盾还做了对iOS应用的保护,针对代码提供了加密、逻辑混淆和符号混淆等静态保护功能。另外,还针对动态保护,提供了反调试、反注入、防内存dump和防篡改等保护,通过这些保护可以有效防止破解、篡改、敏感数据泄漏等威胁,有效保护开发者的知识产权。

最后,卓辉总结网易云易盾移动安全解决方案凭借多年的加固经验,多次抵御移动应用免受用户隐私数据盗取,知识产权窃取、应用破解等威胁。到目前为止,网易云易盾移动安全解决方案服务网易内部和外部的金融、游戏、社交、电商、邮箱和工具等各种类型的应用。以网易内部游戏《倩女幽魂》手游为例,游戏自2016年上线以来,一直使用易盾加固,保护游戏脚本安全,防止泄漏游戏重要逻辑代码,防止游戏客户端数据和速度被篡改。感兴趣的朋友可点击这里免费试用。

网易云易盾卓辉:如何实现移动APP安全隐患规避?相关推荐

  1. 更加全面、高效,网易云易盾手游智能反外挂服务7月31日发布

    反外挂,是一场永无止境的战争. 有新闻报道,一款流行游戏的外挂开发者,可月赚数十万."真正圈内顶尖的高手月入百万也不稀奇."一位行业人士透露.面对如此诱人的"前景&quo ...

  2. 网易云易盾首家推出手游智能反外挂服务 覆盖99%的外挂

    7月31日,网易云易盾在云创大会上正式推出手游智能反外挂服务.该服务覆盖99%的各类游戏外挂,包括修改器.加速器.脱机挂.模拟点击.内购破解.游戏代码&资源窃取等,加固主动防御成功率95%,帮 ...

  3. 网易云易盾荣获雷锋网颁发的年度最佳视频内容审查奖

    昨日,网易云易盾正式入选由雷锋网颁布的 2018「AI 最佳掘金案例年度榜单」,获得其颁发的AI+内容年度最佳视频内容审查奖. 网易云易盾被评为年度最佳视频内容审查奖 「AI 最佳掘金案例年度榜单」是 ...

  4. 网易云易盾与A10 Networks达成战略合作 携手打造抗DDoS攻击的解决方案

    欢迎访问网易云社区,了解更多网易技术产品运营经验. 2018年9月,网易云易盾宣布,与智能和自动化网络安全解决方案提供商A10 Networks结成战略合作伙伴关系.双方将在抗DDoS攻击领域展开深入 ...

  5. 网易云易盾牵手百视通 助力广电领域新媒体内容安全

    经过严格的遴选,国内领先的智能内容安全服务商网易云易盾脱颖而出成为百视通BesTV App合作伙伴,携手百视通共同构建纯净健康的内容生态. 百事通是中国大陆首家获得IPTV运营牌照的公司,依托上海文化 ...

  6. 如何实现360度的手游安全防护?网易云易盾专家分享最新实践

    自2016年以来,手游行业迎来全面爆发.大量资本.创业者的入局,让整个手游市场越发热闹,手游红利的挖掘也越发深入,各种游戏层出不穷.但是随之而来的各种安全问题也越来越多,不仅对手游的使用体验和口碑产生 ...

  7. 网易云易盾朱星星:最容易被驳回的10大APP过检项

    欢迎访问网易云社区,了解更多网易技术产品运营经验. "走进网易:移动测试与安全实践"公开活动在杭州西湖区颐高创业大厦4F楼友会创业咖啡厅举行.本次活动的议题聚焦在如何实现应用的高效 ...

  8. 网易云易盾朱浩齐:视听行业步入强监管和智能时代

    欢迎访问网易云社区,了解更多网易技术产品运营经验. 2018年,文娱视听行业首先感受到一股监管寒潮,一大批知名泛娱乐产品遭到监管约谈.内容安全成为行业不得不重视的Top问题,视听系统的构建绕不开内容安 ...

  9. 网易云易盾三款产品入选2018网络安全全景图

    网络安全行业全景图(2018年7月)于近日发布.本次发布的全景图,共分为16大安全领域,64个细分领域,共包含约200家安全企业和相关机构. 网络安全全景图是由最牛的安全信息网-安全牛凭借其在安全行业 ...

最新文章

  1. Windows Server 2008 部署权限管理RMS
  2. 淘宝技术架构演进之路
  3. iPhone 13的新对手?小米历史上最好看的手机即将发布
  4. VUE的导入(HelloWord)
  5. Swift学习笔记十二
  6. The CC version check failed下出现Failed CC version check. Bailing out! 解决方案
  7. python饼状图显示其比例_python可视化:matplotlib绘制的饼状图你了解吗?
  8. 调节效应分析时简单斜率图或交互效应图出现负数截距?
  9. 福昕阅读器 - PDF 文档基本操作
  10. 杂谈之什么是FullGC
  11. 微信开发工具如何修改模拟页面路径
  12. 给俺的 CSDN 博客加背景音乐 - 高大尚的《心经》背景音乐
  13. 2023最新大数据毕设题目推荐100例
  14. Retrofit详解(二)(Retrofit核心流程)
  15. javascript学习_真正学习javascript
  16. 深度学习入门(三)——神经元激活值的计算方法
  17. JavaScript:探索神秘的旁门左道奇淫技巧
  18. positive通配符证书
  19. 第二家东南亚美股上市公司诞生,Grab为何上市即大跌?
  20. 有道云笔记MarkDown插入图片

热门文章

  1. 基于PTB-XL数据集的深度学习心电信号分类
  2. 教师考编如何选学段?
  3. 小米牵手德施曼 小嘀Q3上线小米有品
  4. 固件安全测试入门学习手册 (新手必看)
  5. html精灵图跟img标签,css精灵图怎么使用?
  6. 将Frock类声明为抽象类,尺寸在Frock类中定义,在类中声明抽象方法calcArea方法,用来计算衣服的布料面积。
  7. ME11/ME12采购信息记录(PIR)无法维护净价“有效价格”解决方案- ME_INFORECORD_MAINTAIN
  8. 第5关 字符串的基本操作
  9. 禅道开源版用户手册_禅道集成 - ZDOO基础版使用手册 - ZDOO - 全面支持阿米巴的全协同管理软件...
  10. 简单描述什么是hadoop?