随着数字化的遍及,各类App的性能更加丰盛,相干的危险事件和违规景象也越来越多。监管部门对保障App用户合法权益非常重视,自2019年来,联结发展App专项整治工作,与App治理相干的法律文件也相继出台。守法违规的App不仅收到监管机构的通报批评,还面临被下架等监管处罚,因而App开发者和运营者必须增强App平安和合规的器重。

平安与合规是App的要害

针对App平安与合规性要求,《网络安全法》、《个人信息保护法》、《App守法违规收集应用个人信息行为认定办法》、《挪动互联网应用程序信息服务治理规定》等均有明文规定。在具体操作层面来看,次要波及到App五个方面:个人隐私平安、敏感权限平安、数据存储平安、App利用平安和App根底平安。

其中,App根底平安方面须要具备五大能力:

可能对虚拟机、模拟器和Root环境进行检测的能力。

可能避免IDA、JDB等工具调试的能力。

可能避免代码动静注入的能力。

可能避免App被篡改并二次打包的能力。

可能避免脱壳工具的能力。

在App利用平安方面,须要可能保障程序、环境、信息、存储、组件的平安,并可能防备歹意攻打。

程序平安:是否存在恶意代码、病毒木马、歹意行为等危险。

环境平安:App运行环境平安评估,是否存在反调试、注入、内存durmp、减速、二次打包等危险。

信息安全:是否存在敏感信息被拦挡监听的危险。

存储平安:是否存在本地存储明文明码、SQL注入、信息残留的危险。

组件平安:是否存在动静组件、组件导出、被零碎或三方间接调用的危险。

防备歹意攻打:是否存在动静注入、近程代码执行、破绽利用等危险。

三方面助力App平安与合规

顶象端加固为App提供平安加固、危险预警及全生命周期风控保障,满足平安和合规要求。

全方位保障App平安

平安威逼与黑客攻击次要通过代码的脆弱性实现的。针对代码平安,顶象端加固可能针对已有利用进行安全性检测,发现利用存在的危险破绽并针对性进行修复整改,对敏感数据、代码混同、代码完整性、内存数据等进行爱护,从源头上防止系统漏洞对于利用自身造成的平安影响。

顶象端加固能无效进攻内存注入、Hook、调试、注入、多开、内存Dump、模拟器、二次打包和日志泄露等攻打威逼,避免App遭入侵、篡改、破解、二次打包等歹意侵害,其独有“蜜罐”性能、爱护Android 16种数据和文件,提供7种加密模式,率先反对对iOS免源码加固。并可能对密钥存储文件、配置类文件的进行加密,保障源代码和数据安全。

为App提供实时危险预警

作为顶象进攻云的一部分,顶象端加固反对安卓、iOS、H5、小程序等平台,独有云策略、业务平安情报和大数据建模可能力。

基于进攻云,顶象端加固可能为App提供挪动利用运行是进行平安监测,对挪动利用运行时终端设备、运行环境、操作行为进行实时监测,帮忙App建设运行时危险的监测、预警、阻断和溯源平安体系。

为App建设全生命周期防控体系

App 利用平安加固出现常态化、泛边界化和专业化的趋势,这意味着企业本身简略的防护曾经无奈满足以后网络安全防护的新趋势,亟待建设更为全面的平安进攻体系。

顶象端加固从App的设计、开发、公布、保护等全生命周期环节解决挪动利用在外围代码平安、逻辑平安、平安功能设计、数据传输链路平安等多个维度的问题,助力筑牢平安防线。

顶象端加固的独有个性

作为基于第五代虚拟机源码爱护技术的顶象端加固,通过利用虚拟机技术爱护App中的所有代码,包含java、Kotlin、C/C++等多种代码,虚拟机技术次要是通过把外围代码编译成两头的二进制文件,随后生成独特的虚拟机源码,爱护执行环境和只有在该环境下能力执行的运行程序。通过基于llvm工具链实现ELF文件的vmp爱护。通过虚拟机爱护技术,让ELF文件领有独特的可变指令集,大大提高了指令跟踪,逆向剖析的强度和难度。

通过顶象端加固后的App,安全性大幅晋升,无效反抗各类攻打威逼。

1.字符串加密。将App的源代码中敏感字符串做随机加密解决。在运行时进行对字符串动静解密,这样就能够防止攻击者,通过利用工具进行动态逆向剖析发现要害字符串信息,从而疾速定位到利用中的业务代码。

2.控制流平坦化。将so文件中C\C++代码中的执行管制逻辑变换为平坦的管制逻辑,从形象语法树层面进行深度混同,使得其在罕用反编译工具中,极大的升高反编译逆向代码的可读性,减少逆向代码的剖析难度。

3.指令替换。对代码中的运算表达式进行等效转换,使其在罕用反编译工具中,进步破解者逆向剖析门槛,无效的爱护外围算法的原始逻辑。

4.局部变量名称混同。对源代码中的变量名称进行做混同操作,混同后变量名称变成无任何意义的名称。这给剖析者加大了剖析强度。

5.符号混同。对App利用中的类名称、函数名称进行混同操作,增大间接用工具剖析难度,让反编译逆向工具,无奈间接通过类名称、函数名称进行疾速定位App的外围代码。

6.混同多样化。采纳在混同过程中引入随机性技术,在雷同的混同策略下,每次混同后的代码均不统一,进一步晋升攻击者通过利用工具进行动态剖析的难度。

7.不通明谓词。将代码中分支跳转判断条件,由原来的确定值变为表达式,减少程序逻辑的复杂性、升高代码的可读性。

8.防动静调试。对App利用进行防调试爱护、检测到配置防动静调试性能的类、办法、函数被IDA逆向工具进行动静调试时候,App利用进行主动退出运行操作,有利于爱护App利用间接被动静调试,从而进步攻防反抗的门槛。

9.防动静注入。对App利用进行防动静注入爱护,当利用zygote或ptrace技术进行App利用的注入操作时,App利用进行主动退出运行操作,以此进行进攻攻打方对App利用的非法操作,防止动态分析执行代码,从而达到动静爱护App利用平安。

10.HOOK检测。对App进行防HOOK爱护,检测到配置防hook爱护性能的类名、办法名、函数名在被frida、xposed等工具动静hook时候,App进行主动退出操作,以此进行进步进攻App安全性,爱护App不被注入攻打,抵挡歹意侵入。

11.代码段测验。对App利用中的代码段进行完整性校验,发现代码段被篡改,App利用进行主动退出运行,避免App利用中的代码逻辑被篡改,以此进行动静爱护App的源代码安全性。

12.完整性校验。对App中指定的函数级进行完整性校验,当利用被从新签名和代码的完整性受到毁坏时候,检测点进行触发App程序闪退,以此抵挡支流的调试器调试剖析,从而达到动静爱护程序平安。

顶象端加固已为政务、电商、物流、家居、新能源、互联网的畛域的App平安与经营合规服务,进一步晋升了机构和企业的业务平安防护能力。
—————
业务平安产品:收费试用