干货 | 聊聊移动端安全加固

最新推荐文章于 2024-10-21 13:26:33 发布
原创 最新推荐文章于 2024-10-21 13:26:33 发布 · 5.8k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#反编译 #java #安全 #编程语言 #python

作者简介

 

老松树,携程高级开发经理,专注于移动应用的信息安全。

随着移动互联网产业的高速发展,智能手机的全面普及,移动App已经无处不在。据统计,我国智能手机用户达到12亿,手机App总量达到400万款。手机APP在方便人们生活之余,也带来了巨大的安全隐患。

App主要面临的风险:

1)静态攻击风险

APP通常很容易被反编译逆向分析源码,出现被破解、篡改、广告植入、二次打包、仿冒/钓鱼应用等风险。

2)动态攻击风险

由于APP运行环境和用户操作行为不可控,导致APP在运行过程中面临各种动态攻击,如模拟器、多开器、加速器、注入攻击、动态调试、设备篡改、位置欺诈等攻击。

3)业务作弊风险

企业大量业务已经由线下及Web端转至手机APP端,目前地下黑灰产通常在APP注册、登录、营销活动场景进行批量化、机器化作业,威胁平台利益和用户账号安全。

移动安全已经成为互联网企业发展过程中面临的一个重要问题,需要更多的关注和投入。

一、手机APP安全加固介绍

解决移动安全问题,要从APP前端的加固,和业务后端的分析两方面进行。本文将介绍手机APP安全加固方面的知识。

下面从iOS平台着手,从以下几个方面,介绍移动端安全加固的方案。

一个标准的安全加固SDK,要包含以下几个要素:

  • 运行环境检测

  • 环境数据的收集

  • 符号,代码的混淆

  • 算法的混淆

  • 虚拟机技术

二、运行环境检测

确认APP的运行环境是否安全,是APP加固的最基础条件。所以我们的加固SDK中,要尽量靠前的进行APP的检测。

检测主要包括以下方面:

  • 越狱检测

  • Hook检测

  • Debug检测

  • 重签名检测

  • 模拟器检测

  • 代理检测

2.1 越狱检测

2.1.1 越狱概念

越狱是指利用iOS系统的某些漏洞,取得到iOS的root权限,然后改变一些程序使得设备的功能得到加强,突破封闭式环境。

越狱使得第三方管理工具可以完全访问iOS设备的所有目录,并可安装更改系统功能的插件和盗版的软件。

对于攻击者来说,越狱一般是iOS设备破解的第一步,只有越狱过才能实现后续的安装插件,砸壳获取二进制文件等一系列操作。

2.1.2 越狱检测

根据越狱手机和非越狱手机权限等方面的区别,我们可以检测当前环境是否是越狱设备。

例如,可以检测下面这些目录:

最低0.47元/天 解锁文章
携程技术
关注
技术干货 | Docker 容器逃逸案例汇集
08-02 2万+
当获得一个Webshell,我们的攻击点可能处于服务器的一个虚拟目录里,一台虚拟机或是一台物理机,甚至是在一个Docker容器里。 假设,我们获取的Webshell就处于Docker容器里,那么,我们该如何破局呢? Docker 容器逃逸案例: 1、判断是否处于docker容器里 2、配置不当引起的逃逸 Docker Remote API 未授权访问 docker.s...
跨境干货|最新注册Google账号方法分享
07-05 5545
谷歌账号对做跨境外贸业务的人来说是刚需,目前来说大部分的海外社媒平台、工具都可以用谷歌账号来注册。但是仍然有很多朋友并不知道如何注册这个谷歌账号,今天就来给大家分享2个注册谷歌账号的方法,一个是手机号注册,一个是如何跳过手机号去注册,建议大家点赞收藏用起来。
移动开发技术学习资源B
10-28
研发团队在本领域有着多年的研究和经验,有成熟的、实际使用的产品。
Android应用数据安全存储加固
hehezhiguang的博客
07-25 252
本文主要讨论了Android设备数据存储安全问题,重点关注于针对一个已有的、非安全存储的移动应用,如何将其加固为一个达到安全存储结果的应用。
APP移动应用安全加固是如何进行的?
Uguardsec的博客
05-26 1412
一、背景 随着移动互联网产业的快速发展,移动应用呈井喷式爆发,Android应用开发者从几万迅速增加到几十万,APP数量更是不断向上增长,每日新开发的APP在以几何级数量递增。 同时,因Android系统本身开源特性,Android应用正逐渐取代PC端成为黑客攻击的主要对象,超97%的Android应用遭受盗版侵袭,病毒木马肆虐、流氓软件和钓鱼应用随处可见,严重影响了开发者收益、客户端安全和体验。 二、APP移动应用安全加固介绍 移动应用安全加固技术包括Android应用加固、iOS应用加固、游戏应用加固
移动安全攻防
chulongni2273的博客
01-18 774
导读 想让你的终端被记住么?将它打在横幅上,不要错过。 欢迎再次来到为期 24 天的Linux命令行玩具日历。如果这是你第一次访问该系列,你...
移动安全之 APP 加固:保障移动应用安全的重要手段
最新发布
m0_57836225的博客
10-21 4521
无论是从防御者的角度防止 APP 被攻击,还是从攻击者的角度尝试突破加固措施,都体现了 APP 加固在移动安全领域的重要性。在 APP 与服务器之间的通信中,如果使用 https 协议,要对 SSL 证书进行校验,确保通信的安全性。对 APP 中的时间戳进行验证,确保数据的时效性和真实性。在 APP 进行一些敏感操作时,如登录、转账等,要对环境进行清场,确保没有恶意程序在后台运行,影响操作的安全性。对于 APP 中的手势密码,要将其作为一个全局的标志,在 APP 的各个相关模块中进行统一的管理和验证。
含代码 | 支付宝如何优化移动端深度学习引擎?
阿里技术
06-20 2356
阿里妹导读:移动端深度学习在增强体验实时性、降低云端计算负载、保护用户隐私等方面具有天然的优势,在图像、语音、安全等领域具有越来越广泛的业务场景。考虑到移动端资源的限制,...
干货!考虑部署在移动端的视频插帧模型:CDFI
AITIME_HY的博客
10-28 2327
点击蓝字关注我们AI TIME欢迎每一位AI爱好者的加入!对于给定的视频进行插帧操作提高帧率会使得视频更加流畅,但往往用于视频插帧的深度神经网络都具有复杂的模型架构,这使得它们无法部署在系...
加固移动应用:提高APP的安全
@云安全小杜
07-30 982
在当今的数字时代,移动应用已成为企业和用户之间的重要桥梁。然而,这也使得它们成为了黑客攻击的目标。为了保护用户的隐私和数据安全,开发者必须采取一系列措施来加固他们的应用。本文将探讨一些关键的安全加固技术及其实施方法。通过上述技术的应用,我们可以显著提高移动应用的安全性。然而,安全是一个持续的过程,开发者需要不断关注新的威胁和技术进展,以确保应用始终处于最佳的防护状态。希望这篇文章能为您提供有价值的信息!如果有更具体的需求或技术细节想要了解,请随时告诉我。
关于移动应用的安全加固
weixin_30670965的博客
09-07 186
因为移动网络的安全和代码泄露,腾讯云有加固软件 转载于:https://www.cnblogs.com/zhumiao/p/9605433.html
移动安全加固助力 App 实现全面、有效的安全防护
qq_53058639的博客
02-19 500
无论是 Android app 还是 Jar 应用,代码一旦分发出去,都会以某种形式处于不可信环境中,难免被有心人分析破解。隐藏在代码中的秘密,无论是私有算法,或是私有协议,或者是加解密秘钥,都可能被攻击者破解出来,然后侵犯原作者的商业利益或知识产权。所以应用被逆向破解是商业风险源头之一。
如何对APP进行安全加固
不写代码没饭吃的博客
01-04 1074
Android应用安全加固,使用DEX VMP、DEX函数抽取加密及动态还原、DEX文件加壳、SO文件加固、H5文件混淆、SDK加固、资源文件完整性保护、防调试保护、签名校验、防截屏、防劫持等技术,使加固后的应用具备防逆向分析、防二次打包、防动态调试、防动态注入、防数据篡改等安全防护能力。SO加固使用SO加壳、SO混淆、SO VMP、SO Linker、防调试、防调用、加固绑定等技术,使加固后的SO文件具备防逆向分析、防动态调试、防动态注入、防窃取等安全防护能力,降低SO文件被破解的风险。
移动安全-APP安全加固
飞扬的博客
02-06 1131
转载地址1:https://blog.youkuaiyun.com/weixin_39190897/article/details/98471125 移动安全-安卓漏洞:https://www.cnblogs.com/AtesetEnginner/p/11299050.html https://blog.youkuaiyun.com/xwh_1230/article/details/78416306 ...
移动安全技术应用趋势及未来发展,防止移动端黑客攻击
m8330466的博客
04-12 927
移动互联网已成为人们日常生活中必不可少的一部分,随之而来的是移动设备上的安全问题也越来越引人注目。移动端黑客攻击、隐私泄露等问题已经成为不容忽视的风险。为了保护用户的安全和隐私,移动安全技术不断地发展和完善。
浅谈移动端安全性问题(个人使用\买卖角度)
Fly_鹏程万里
02-15 723
因为本人在做IOS的测试的时候发现我的IOS测试机(是从二手市场上购买的,之后刷机、越狱的)的图片文件夹当中惊奇的出现了不少前一个用户使用的文件信息,所以有感而发,建议所有的用户在将自己的手机在“二手市场”上交易之前,先将自己手机上的各种应用的数据、日志、照片、文档等等包含大量信息的文件都进行删除,实在不行可以格式化、恢复出厂设置等,下面给大家看几个在该IOS上的前一个用户的各种数据 QQ中...
干货 | spark streaming 和 flink 详细对比
06-28
Spark Streaming 和 Flink 都是流处理框架,但在一些方面有所不同。 1. 数据处理模型 Spark Streaming 基于批处理模型,将流数据分成一批批进行处理。而 Flink 则是基于流处理模型,可以实时处理数据流。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值