网易云易盾卓辉:如何实现移动APP安全隐患规避?
2016年中国信通院等机构联合发布《移动互联网金融APP信息安全现状白皮书》,其中抽取88个互联网金融类移动应用APP进行测试,最终发现敏感信息泄露、二次打包、代码可逆向、可调式等十大安全隐患。在监管部门要求下,如何在规避安全问题,成为移动APP越来越重视的问题。10月20日,FreeBuf企业安全活动上,网易云易盾移动安全技术专家卓辉受邀发表“移动互联时代APP的安全防护”的主题演讲,分享网易云安全在移动APP安全的实践经验。
FreeBuf企业安全活动现场
移动APP经常遇到哪些安全风险?
对于移动应用APP安全风险。网易云易盾卓辉提到,移动APP最常见的安全风险有:山寨APP、重打包、破解、数据泄露、登录安全等风险。例如,移动APP山寨应用已严重危害正版应用,经有关部门统计,热门应用中平均有27个山寨APP。通常正版应用上线后,应用被解包逆向分析,从中找到核心功能实现,进一步拷贝代码进行简单开发,重新打包上架。
同时,移动APP也面临重打包风险,通过反编译工具向应用中插入广告代码与相关配置,再在第三方应用市场、论坛发布。对于打包党对于移动APP带来的危害有以下几种:
• 插入自己广告或者删除原来广告
• 恶意代码, 恶意扣费、木马等
• 修改原来支付逻辑
上述恶意行为严重危害移动产品和用户利益,同时也影响企业口碑。
关于移动APP破解、数据泄露风险问题,卓辉以金融行业为例。众所周知数据是金融类应用产品重要资源之一,关乎企业生存与发展、但移动应用经常被破解、数据被抓包,导致本地存储数据以及用户名、密码等重要信息泄露。下面举例说明数据泄露案例。
金融类本地存储数据泄漏
数据抓包,泄漏用户名和密码
如何解决移动APP安全风险问题?
基于多年的移动安全经验积累,网易云易盾在移动APP安全风险问题上,从起始的发到阶段、中间的测试阶段再到结尾发布阶段,针对移动APP全生命周期进行安全防护。
开发阶段——移动应用开发时接入安全组件,保护数据安全。其中,针对安全通信方面,实现数据高强度加密,结合传统的对称、非对称加密算法和hash算法,客户端加密数据只有认证服务端才能解密,从而防止了数据泄漏、数据窃取和篡改。另外,为了实现加强数据的安全强度,安全组件结合自适应特征算法和随机切换算法,保证不同时间、不同终端的算法和密钥的差异性。
测试阶段——对移动应用进行人工渗透测试,发现漏洞解决产品修复相关问题,包括:APP渗透测试和服务端渗透测试。
发布阶段——APP上架之前针对应用做安全加固,提高安全防护等级,上架之后做盗版监测。网易云易盾可针对dex文件进行加固防护,防止被静态反编译获取代码逻辑;保护应用在被非法二次打包后不能正常运行;防止通过使用调试器工具对应用进行非法破解;提供自研高稳定的设备指纹,防止潜在的刷单风险;加密资源文件,防止apk资源文件被破解;对so文件进行加固保护,防止native代码被逆向分析;对游戏提供加固保护,让游戏免受破解、外挂等威胁。
除此之外,易盾还做了对iOS应用的保护,针对代码提供了加密、逻辑混淆和符号混淆等静态保护功能。另外,还针对动态保护,提供了反调试、反注入、防内存dump和防篡改等保护,通过这些保护可以有效防止破解、篡改、敏感数据泄漏等威胁,有效保护开发者的知识产权。
最后,卓辉总结网易云易盾移动安全解决方案凭借多年的加固经验,多次抵御移动应用免受用户隐私数据盗取,知识产权窃取、应用破解等威胁。到目前为止,网易云易盾移动安全解决方案服务网易内部和外部的金融、游戏、社交、电商、邮箱和工具等各种类型的应用。以网易内部游戏《倩女幽魂》手游为例,游戏自2016年上线以来,一直使用易盾加固,保护游戏脚本安全,防止泄漏游戏重要逻辑代码,防止游戏客户端数据和速度被篡改。感兴趣的朋友可点击这里免费试用。
网易云易盾卓辉:如何实现移动APP安全隐患规避?相关推荐
- 更加全面、高效,网易云易盾手游智能反外挂服务7月31日发布
反外挂,是一场永无止境的战争. 有新闻报道,一款流行游戏的外挂开发者,可月赚数十万."真正圈内顶尖的高手月入百万也不稀奇."一位行业人士透露.面对如此诱人的"前景&quo ...
- 网易云易盾首家推出手游智能反外挂服务 覆盖99%的外挂
7月31日,网易云易盾在云创大会上正式推出手游智能反外挂服务.该服务覆盖99%的各类游戏外挂,包括修改器.加速器.脱机挂.模拟点击.内购破解.游戏代码&资源窃取等,加固主动防御成功率95%,帮 ...
- 网易云易盾荣获雷锋网颁发的年度最佳视频内容审查奖
昨日,网易云易盾正式入选由雷锋网颁布的 2018「AI 最佳掘金案例年度榜单」,获得其颁发的AI+内容年度最佳视频内容审查奖. 网易云易盾被评为年度最佳视频内容审查奖 「AI 最佳掘金案例年度榜单」是 ...
- 网易云易盾与A10 Networks达成战略合作 携手打造抗DDoS攻击的解决方案
欢迎访问网易云社区,了解更多网易技术产品运营经验. 2018年9月,网易云易盾宣布,与智能和自动化网络安全解决方案提供商A10 Networks结成战略合作伙伴关系.双方将在抗DDoS攻击领域展开深入 ...
- 网易云易盾牵手百视通 助力广电领域新媒体内容安全
经过严格的遴选,国内领先的智能内容安全服务商网易云易盾脱颖而出成为百视通BesTV App合作伙伴,携手百视通共同构建纯净健康的内容生态. 百事通是中国大陆首家获得IPTV运营牌照的公司,依托上海文化 ...
- 如何实现360度的手游安全防护?网易云易盾专家分享最新实践
自2016年以来,手游行业迎来全面爆发.大量资本.创业者的入局,让整个手游市场越发热闹,手游红利的挖掘也越发深入,各种游戏层出不穷.但是随之而来的各种安全问题也越来越多,不仅对手游的使用体验和口碑产生 ...
- 网易云易盾朱星星:最容易被驳回的10大APP过检项
欢迎访问网易云社区,了解更多网易技术产品运营经验. "走进网易:移动测试与安全实践"公开活动在杭州西湖区颐高创业大厦4F楼友会创业咖啡厅举行.本次活动的议题聚焦在如何实现应用的高效 ...
- 网易云易盾朱浩齐:视听行业步入强监管和智能时代
欢迎访问网易云社区,了解更多网易技术产品运营经验. 2018年,文娱视听行业首先感受到一股监管寒潮,一大批知名泛娱乐产品遭到监管约谈.内容安全成为行业不得不重视的Top问题,视听系统的构建绕不开内容安 ...
- 网易云易盾三款产品入选2018网络安全全景图
网络安全行业全景图(2018年7月)于近日发布.本次发布的全景图,共分为16大安全领域,64个细分领域,共包含约200家安全企业和相关机构. 网络安全全景图是由最牛的安全信息网-安全牛凭借其在安全行业 ...
最新文章
- Windows Server 2008 部署权限管理RMS
- 淘宝技术架构演进之路
- iPhone 13的新对手?小米历史上最好看的手机即将发布
- VUE的导入(HelloWord)
- Swift学习笔记十二
- The CC version check failed下出现Failed CC version check. Bailing out! 解决方案
- python饼状图显示其比例_python可视化:matplotlib绘制的饼状图你了解吗?
- 调节效应分析时简单斜率图或交互效应图出现负数截距?
- 福昕阅读器 - PDF 文档基本操作
- 杂谈之什么是FullGC
- 微信开发工具如何修改模拟页面路径
- 给俺的 CSDN 博客加背景音乐 - 高大尚的《心经》背景音乐
- 2023最新大数据毕设题目推荐100例
- Retrofit详解(二)(Retrofit核心流程)
- javascript学习_真正学习javascript
- 深度学习入门(三)——神经元激活值的计算方法
- JavaScript:探索神秘的旁门左道奇淫技巧
- positive通配符证书
- 第二家东南亚美股上市公司诞生,Grab为何上市即大跌?
- 有道云笔记MarkDown插入图片
热门文章
- 基于PTB-XL数据集的深度学习心电信号分类
- 教师考编如何选学段?
- 小米牵手德施曼 小嘀Q3上线小米有品
- 固件安全测试入门学习手册 (新手必看)
- html精灵图跟img标签,css精灵图怎么使用?
- 将Frock类声明为抽象类,尺寸在Frock类中定义,在类中声明抽象方法calcArea方法,用来计算衣服的布料面积。
- ME11/ME12采购信息记录(PIR)无法维护净价“有效价格”解决方案- ME_INFORECORD_MAINTAIN
- 第5关 字符串的基本操作
- 禅道开源版用户手册_禅道集成 - ZDOO基础版使用手册 - ZDOO - 全面支持阿米巴的全协同管理软件...
- 简单描述什么是hadoop?