网易云易盾卓辉：如何实现移动APP安全隐患规避？

2016年中国信通院等机构联合发布《移动互联网金融APP信息安全现状白皮书》，其中抽取88个互联网金融类移动应用APP进行测试，最终发现敏感信息泄露、二次打包、代码可逆向、可调式等十大安全隐患。在监管部门要求下，如何在规避安全问题，成为移动APP越来越重视的问题。10月20日，FreeBuf企业安全活动上，网易云易盾移动安全技术专家卓辉受邀发表“移动互联时代APP的安全防护”的主题演讲，分享网易云安全在移动APP安全的实践经验。

 

FreeBuf企业安全活动现场

 

移动APP经常遇到哪些安全风险？

 

对于移动应用APP安全风险。网易云易盾卓辉提到，移动APP最常见的安全风险有：山寨APP、重打包、破解、数据泄露、登录安全等风险。例如，移动APP山寨应用已严重危害正版应用，经有关部门统计，热门应用中平均有27个山寨APP。通常正版应用上线后，应用被解包逆向分析，从中找到核心功能实现，进一步拷贝代码进行简单开发，重新打包上架。

 

同时，移动APP也面临重打包风险，通过反编译工具向应用中插入广告代码与相关配置，再在第三方应用市场、论坛发布。对于打包党对于移动APP带来的危害有以下几种：

•       插入自己广告或者删除原来广告

•       恶意代码, 恶意扣费、木马等

•       修改原来支付逻辑

 

上述恶意行为严重危害移动产品和用户利益，同时也影响企业口碑。

 

关于移动APP破解、数据泄露风险问题，卓辉以金融行业为例。众所周知数据是金融类应用产品重要资源之一，关乎企业生存与发展、但移动应用经常被破解、数据被抓包，导致本地存储数据以及用户名、密码等重要信息泄露。下面举例说明数据泄露案例。

 

金融类本地存储数据泄漏

 

数据抓包，泄漏用户名和密码

 

如何解决移动APP安全风险问题？

 

基于多年的移动安全经验积累，网易云易盾在移动APP安全风险问题上，从起始的发到阶段、中间的测试阶段再到结尾发布阶段，针对移动APP全生命周期进行安全防护。

 

开发阶段——移动应用开发时接入安全组件，保护数据安全。其中，针对安全通信方面，实现数据高强度加密，结合传统的对称、非对称加密算法和hash算法，客户端加密数据只有认证服务端才能解密，从而防止了数据泄漏、数据窃取和篡改。另外，为了实现加强数据的安全强度，安全组件结合自适应特征算法和随机切换算法，保证不同时间、不同终端的算法和密钥的差异性。

 

测试阶段——对移动应用进行人工渗透测试，发现漏洞解决产品修复相关问题，包括：APP渗透测试和服务端渗透测试。

 

发布阶段——APP上架之前针对应用做安全加固，提高安全防护等级，上架之后做盗版监测。网易云易盾可针对dex文件进行加固防护，防止被静态反编译获取代码逻辑；保护应用在被非法二次打包后不能正常运行；防止通过使用调试器工具对应用进行非法破解；提供自研高稳定的设备指纹，防止潜在的刷单风险；加密资源文件，防止apk资源文件被破解；对so文件进行加固保护，防止native代码被逆向分析；对游戏提供加固保护，让游戏免受破解、外挂等威胁。

 

除此之外，易盾还做了对iOS应用的保护，针对代码提供了加密、逻辑混淆和符号混淆等静态保护功能。另外，还针对动态保护，提供了反调试、反注入、防内存dump和防篡改等保护，通过这些保护可以有效防止破解、篡改、敏感数据泄漏等威胁，有效保护开发者的知识产权。

 

最后，卓辉总结网易云易盾移动安全解决方案凭借多年的加固经验，多次抵御移动应用免受用户隐私数据盗取，知识产权窃取、应用破解等威胁。到目前为止，网易云易盾移动安全解决方案服务网易内部和外部的金融、游戏、社交、电商、邮箱和工具等各种类型的应用。以网易内部游戏《倩女幽魂》手游为例，游戏自2016年上线以来，一直使用易盾加固，保护游戏脚本安全，防止泄漏游戏重要逻辑代码，防止游戏客户端数据和速度被篡改。感兴趣的朋友可点击这里免费试用。