随着数字化的遍及,各类 App 的性能更加丰盛,相干的危险事件和违规景象也越来越多。监管部门对保障 App 用户合法权益非常重视,自 2019 年来,联结发展 App 专项整治工作,与 App 治理相干的法律文件也相继出台。守法违规的 App 不仅收到监管机构的通报批评,还面临被下架等监管处罚,因而 App 开发者和运营者必须增强 App 平安和合规的器重。
平安与合规是 App 的要害
针对 App 平安与合规性要求,《网络安全法》、《个人信息保护法》、《App 守法违规收集应用个人信息行为认定办法》、《挪动互联网应用程序信息服务治理规定》等均有明文规定。在具体操作层面来看,次要波及到 App 五个方面:个人隐私平安、敏感权限平安、数据存储平安、App 利用平安和 App 根底平安。
其中,App 根底平安方面须要具备五大能力:
可能对虚拟机、模拟器和 Root 环境进行检测的能力。
可能避免 IDA、JDB 等工具调试的能力。
可能避免代码动静注入的能力。
可能避免 App 被篡改并二次打包的能力。
可能避免脱壳工具的能力。
在 App 利用平安方面, 须要可能保障程序、环境、信息、存储、组件的平安,并可能防备歹意攻打。
程序平安 :是否存在恶意代码、病毒木马、歹意行为等危险。
环境平安 :App 运行环境平安评估,是否存在反调试、注入、内存 durmp、减速、二次打包等危险。
信息安全 :是否存在敏感信息被拦挡监听的危险。
存储平安 :是否存在本地存储明文明码、SQL 注入、信息残留的危险。
组件平安 :是否存在动静组件、组件导出、被零碎或三方间接调用的危险。
防备歹意攻打 :是否存在动静注入、近程代码执行、破绽利用等危险。
三方面助力 App 平安与合规
顶象端加固为 App 提供平安加固、危险预警及全生命周期风控保障,满足平安和合规要求。
全方位保障 App 平安
平安威逼与黑客攻击次要通过代码的脆弱性实现的。针对代码平安,顶象端加固可能针对已有利用进行安全性检测,发现利用存在的危险破绽并针对性进行修复整改,对敏感数据、代码混同、代码完整性、内存数据等进行爱护,从源头上防止系统漏洞对于利用自身造成的平安影响。
顶象端加固能无效进攻内存注入、Hook、调试、注入、多开、内存 Dump、模拟器、二次打包和日志泄露等攻打威逼,避免 App 遭入侵、篡改、破解、二次打包等歹意侵害,其独有“蜜罐”性能、爱护 Android 16 种数据和文件,提供 7 种加密模式,率先反对对 iOS 免源码加固。并可能对密钥存储文件、配置类文件的进行加密,保障源代码和数据安全。
为 App 提供实时危险预警
作为顶象进攻云的一部分,顶象端加固反对安卓、iOS、H5、小程序等平台,独有云策略、业务平安情报和大数据建模可能力。
基于进攻云,顶象端加固可能为 App 提供挪动利用运行是进行平安监测,对挪动利用运行时终端设备、运行环境、操作行为进行实时监测,帮忙 App 建设运行时危险的监测、预警、阻断和溯源平安体系。
为 App 建设全生命周期防控体系
App 利用平安加固出现常态化、泛边界化和专业化的趋势,这意味着企业本身简略的防护曾经无奈满足以后网络安全防护的新趋势,亟待建设更为全面的平安进攻体系。
顶象端加固从 App 的设计、开发、公布、保护等全生命周期环节解决挪动利用在外围代码平安、逻辑平安、平安功能设计、数据传输链路平安等多个维度的问题,助力筑牢平安防线。
顶象端加固的独有个性
作为基于第五代虚拟机源码爱护技术的顶象端加固,通过利用虚拟机技术爱护 App 中的所有代码,包含 java、Kotlin、C/C++ 等多种代码,虚拟机技术次要是通过把外围代码编译成两头的二进制文件,随后生成独特的虚拟机源码,爱护执行环境和只有在该环境下能力执行的运行程序。通过基于 llvm 工具链实现 ELF 文件的 vmp 爱护。通过虚拟机爱护技术,让 ELF 文件领有独特的可变指令集,大大提高了指令跟踪,逆向剖析的强度和难度。
通过顶象端加固后的 App,安全性大幅晋升,无效反抗各类攻打威逼。
1. 字符串加密 。将 App 的源代码中敏感字符串做随机加密解决。在运行时进行对字符串动静解密,这样就能够防止攻击者,通过利用工具进行动态逆向剖析发现要害字符串信息,从而疾速定位到利用中的业务代码。
2. 控制流平坦化 。将 so 文件中 C\C++ 代码中的执行管制逻辑变换为平坦的管制逻辑,从形象语法树层面进行深度混同,使得其在罕用反编译工具中,极大的升高反编译逆向代码的可读性,减少逆向代码的剖析难度。
3. 指令替换 。对代码中的运算表达式进行等效转换,使其在罕用反编译工具中,进步破解者逆向剖析门槛,无效的爱护外围算法的原始逻辑。
4. 局部变量名称混同 。对源代码中的变量名称进行做混同操作,混同后变量名称变成无任何意义的名称。这给剖析者加大了剖析强度。
5. 符号混同 。对 App 利用中的类名称、函数名称进行混同操作,增大间接用工具剖析难度,让反编译逆向工具,无奈间接通过类名称、函数名称进行疾速定位 App 的外围代码。
6. 混同多样化 。采纳在混同过程中引入随机性技术,在雷同的混同策略下,每次混同后的代码均不统一,进一步晋升攻击者通过利用工具进行动态剖析的难度。
7. 不通明谓词 。将代码中分支跳转判断条件,由原来的确定值变为表达式,减少程序逻辑的复杂性、升高代码的可读性。
8. 防动静调试 。对 App 利用进行防调试爱护、检测到配置防动静调试性能的类、办法、函数被 IDA 逆向工具进行动静调试时候,App 利用进行主动退出运行操作,有利于爱护 App 利用间接被动静调试,从而进步攻防反抗的门槛。
9. 防动静注入 。对 App 利用进行防动静注入爱护,当利用 zygote 或 ptrace 技术进行 App 利用的注入操作时,App 利用进行主动退出运行操作,以此进行进攻攻打方对 App 利用的非法操作,防止动态分析执行代码,从而达到动静爱护 App 利用平安。
10.HOOK 检测 。对 App 进行防 HOOK 爱护,检测到配置防 hook 爱护性能的类名、办法名、函数名在被 frida、xposed 等工具动静 hook 时候,App 进行主动退出操作,以此进行进步进攻 App 安全性,爱护 App 不被注入攻打,抵挡歹意侵入。
11. 代码段测验 。对 App 利用中的代码段进行完整性校验,发现代码段被篡改,App 利用进行主动退出运行,避免 App 利用中的代码逻辑被篡改,以此进行动静爱护 App 的源代码安全性。
12. 完整性校验 。对 App 中指定的函数级进行完整性校验,当利用被从新签名和代码的完整性受到毁坏时候,检测点进行触发 App 程序闪退,以此抵挡支流的调试器调试剖析,从而达到动静爱护程序平安。
顶象端加固已为政务、电商、物流、家居、新能源、互联网的畛域的 App 平安与经营合规服务,进一步晋升了机构和企业的业务平安防护能力。
—————
业务平安产品:收费试用