摘要:朱星星表示面对破解者的动态调试,我们可以采取对进行加固的方案,防止被动态调试。事实上,不管有无其他问题,检测方如果检测到里有明文存储,则一定会被打回来,朱星星在解释该问题重要性时告诫开发者,在开发阶段一定要注意文件是否存在明文存储的问题。
欢迎访问网易云社区,了解更多网易技术产品运营经验。
因为工信部对移动App应用安全过检要求日益增多,不加固大都达不到工信部的要求,同时开发者加固App大都是为了防止以下10个检测项出现问题,影响App上架。
1.程序代码安全
“很多人可能认为这一项技术含量并不大,其实这项在App上线时,检测方是有一些要求的”,网易资深安全开发工程师朱星星认为,在App上线时,开发者最好准备相关的《法律声明及隐私政策》、申请用户权限的调用系统说明,以及标注使用怎么样的SDK收集用户数据及收集用户数据的用途,这些都是硬性要求。
2.程序代码防护
程序代码防护是检测方判断代码保护基本强度的项目之一,这也是判断App开发者是否有安全开发意识的标准之一。业界最常见的程序代码防护有以下几种——客户端App采用代码混淆技术,增加能够防止第三方逆向工具进行逆向反编译,使用加固、防篡改机制、防二次打包等技术。
3.密码与安全策略
这一问题在金融类App非常常见,开发者往往需要考虑的是用户在输入账号密码时会不会被第三方记录截屏。“我们在帮助客户解决这一个问题时,建议客户一定要有一个防键盘记录SDK,这样用户每次打开键盘字幕排序是不一样的,App也能更安全更容易过检”,朱星星说。
4.权限与界面安全
在移动互联网时代,黑客的攻击方式越来越多样化,伪造用户登录页面窃取用户信息就是其中一种。在App过检测试时,检测方会有提供同样的虚假的登录页面来检测App是否有防范意识,这就需要开发者适当的在App中给用户一些警示信息,提示登录或关键界面已被覆盖的警示信息。
5.动态调试
动态调试技术在软件逆向工程领域也是一个很热门的概念,它是指破解者利用调试器跟踪软件的运行,寻求破解的途径。朱星星表示:“面对破解者的动态调试,我们可以采取对App进行加固的方案,防止App被动态调试”。
6.SO注入
SO注入也是比较常见的黑客入侵手段,在安卓App过检中是必测项。据朱星星介绍,一般来说有三个方案可以解决这一问题——修改linker中的dlopen函数,防止第三方SO加载;定时检测应用加载的第三方so库,如果发现是被注入的SO,则卸载加载的SO;对被测系统进行加固,防止被测系统被动态注入第三方SO。
7.内存数据保护
如何保护自己的程序不被其他程序读取或改写内存一直是技术开发者们需要解决的重要问题。在朱星星的分享中,他提到防内存被第三方程序读写。“我们监控/proc/pid/mem、/proc/tid/mem等文件的读写操作,当这些文件被第三方程序访问时,触发设置的回调函数,并配合防注入、防调试等方法,最终实现防内存修改。”
8.隐私与储存数据
技术开发者的代码文档如果使用明文存储,很容易出问题。“事实上,不管App有无其他问题,检测方如果检测到App里有明文存储,则一定会被打回来”,朱星星在解释该问题重要性时告诫开发者,在开发阶段一定要注意xml、db文件是否存在明文存储的问题。
9.日志信息泄露
在移动App的开发过程中,日志信息的安全是非常值得关注的问题。日志信息泄露,主要是防止打印的log容易被破解者作为分析的切入点,分析到App的执行逻辑等。除了静态代码不能出现log的调用之外,动态运行时也不能输出日志信息。
10.通信与数据安全
在全球新一轮新技术革命的冲击下,用户的生活方式越来越依赖于线上应用,以致于通信数据正呈爆发式的增长。但令人担忧的是,线上数据的大量聚集增加了数据泄密的可能,导致信息安全面临威胁。为解决这一威胁,朱星星建议的做法是对敏感数据进行加密传输,增加加密信道的安全性检测(包含中间人攻击检测等)HTTPS 通信协议等。
更多详情请见:《网易云易盾朱星星:最容易被驳回的10大APP过检项》
网易云易盾提供Android 应用加固解决方案,感兴趣的朋友可以点击这里免费试用。
IOS应用加固免费试用可点击这里。
文章来源: 网易云社区
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/25298.html
摘要:就是在这种情况下,御安全加固平台推出了一种方便,高效以及成本低的基于加固的反外挂方法,来保护好手游免受外挂软件的侵扰。御安全加固技术主要功能文件保护。御安全加固后的,一旦发现玩家或者攻击者有加速或者减速游戏的行为,将自动终止运行。 一、 前言 随着移动互联网的兴起,移动游戏市场近几年突然爆发,收入规模快速增长。 根据第三方数据统计,国内移动游戏2015年市场规模已达514.6亿。 由于...
摘要:接下来,我就来详解一下如何防止被二次打包。开发阶段移动应用开发时接入安全组件,保护数据安全。 前言 Android APP二次打包则是盗版正规Android APP,破解后植入恶意代码重新打包。不管从性能、用户体验、外观它都跟正规APP一模一样但是背后它确悄悄运行着可怕的程序,它会在不知不觉中浪费手机电量、流量,恶意扣费、偷窥隐私等等行为。 二次打包问题只是Android应用安全风险中...
摘要:接下来,我就来详解一下如何防止被二次打包。开发阶段移动应用开发时接入安全组件,保护数据安全。 前言 Android APP二次打包则是盗版正规Android APP,破解后植入恶意代码重新打包。不管从性能、用户体验、外观它都跟正规APP一模一样但是背后它确悄悄运行着可怕的程序,它会在不知不觉中浪费手机电量、流量,恶意扣费、偷窥隐私等等行为。 二次打包问题只是Android应用安全风险中...
摘要:第二具备轻量化特性容器的体积非常小巧。他们大多认为自己应该将应用程序部署至当前正在运行的容器当中。不要创建大型镜像体积过大的镜像会加大其发布难度。总体来讲,在向生产环境中部署容器时,必须避免使用最新标签。 当下最火爆的Docker,是一个开源的应用容器引擎。大家已经开始认同并接受容器技术,并意识到它能够解决多种现实问题并具备一系列无可比拟的优势。今天小数就和大家聊一聊容器技术的优势和误...
摘要:作为国际顶级信息安全会议之一,专注于二进制安全领域,议题面向全球开放申请。移动安全的重要性说到安全方面的问题,这里必须说一下逆向了。移动安全知识技术全解资料是由腾讯安全团队编写的学习笔记,资料包含个知识点共计万字。 ...
阅读 2077·2021-09-26 09:55
阅读 3421·2021-09-23 11:22
阅读 1662·2021-09-10 10:50
阅读 2013·2019-08-30 15:54
阅读 1735·2019-08-28 18:03
阅读 2650·2019-08-28 17:46
阅读 2432·2019-08-26 12:22
阅读 3318·2019-08-26 12:20
