近年来,随着移动互联网的飞速发展,智能移动终端生产成本的逐渐下降,智能手机在人们学习、工作和生活中的普及率越来越高。手机终端的广大用户群体的良好体验正吸引着越来越多的开发及应用者参与到手机应用程序的开发和使用中来。
Android和iOS系统作为目前市场最主流的移动操作系统,其应用种类、应用数量都在不断地增长。Android的开源性和自签名客观上为恶意软件的滋生提供了温床,而在多数的移动应用开发者之中,仅有少部分开发者重视移动应用安全,加之大部分的移动应用分发市场审核并不严格,导致了整个市场上盗版、仿冒、内嵌木马的恶意应用层出不穷,另外iOS作为以一个封闭系统以安全著称,但其中已经暴露出多种应用安全漏洞,例如XcodeGhost感染漏洞、iBackDoor漏洞、ZipperDown漏洞、源码泄露、输入键盘劫持等。移动应用的这些安全问题不仅会泄露用户的个人信息,甚至会造成应用的知识产权盗用,使得名誉和经济受损,亟需有效的解决方案和措施。
功能架构
蛮犀安全移动应用加固系统中功能主要由Web可视化前端、加固、基础工具、数据库以及文件系统组成,蛮犀安全移动应用加固系统对上传的移动应用进行包括针对自动化加固处理。
参考依据(部分)
蛮犀安全移动应用加固系统主要参考以下相关国家标准以及行业标准进行的研制开发:
1、《YD/T 1438-2006 数字移动台应用层软件功能要求和测试方法》
2、《YD/T 2307-2011 数字移动通信终端通用功能技术要求和测试方法》
3、《JR/T 0092-2012 中国金融移动支付客户端技术规范》
4、《GB/T 32927-2016 信息安全技术 移动智能终端安全架构》
5、《YD/T 3039-2016 移动智能终端应用软件安全技术要求》
6、《YD/T 3228-2017 移动应用软件安全评估方法》
7、《GB/T 35282-2017 信息安全技术 电子政务移动办公系统安全技术规范》
8、《GA/T 1390.3-2017 网络安全等级保护基本要求 第3部分:移动互联安全扩展要求》
9、《GB/T 34978-2017 信息安全技术移动智能终端个人信息保护技术要求》
10、《GBT22239-2019信息安全技术网络安全等级保护基本要求》
APP加固发展历程
纵观移动应用加固发展情况,移动应用加固技术经历了从代码混淆保护技术到虚拟机保护技术的六个代际更新,相关描述如下表格:
| 加固技术 | 描述 |
| 源代码混淆 | 使用一种或多种处理方式将源代码或字节码进行混淆处理后生成新的代码或中间码,使混淆后的代码不易被反编译,且反编译后的代码难以阅读和理解 |
| 移动应用加壳 | 在二进制的应用程序中植入一段代码,对原始二进制原文进行加密、隐藏,在运行的时候壳代码会优先取得程序的控制权,做一些额外的安全工作 |
| 字节码抽取 | 抽取中的字节码指令后用noop指令填充,或者修改方法属性等操作,运行时在内存中做修正、修复等处理工作 |
| 字节码虚拟化 | 将字节码进行转换成自定义字节码,并将原有字节码进行清空,应用运行时自定义字节码使用自定义解释器进行解释执行 |
| 字节码转移 | 将移动应用中字节码等效转化成原生C++代码,可提升应用代码安全性以及运行效率,并可防动态调试所能带来的代码Dump |
| 汇编指令虚拟化 | 将移动应用中汇编指令转换成自定义的虚拟机字节码,运行时采用自定义虚拟机解释器进行解释执行 |
蛮犀科技移动应用加固系统支持Android、iOS、小程序、SDK、轻应用等多场景。针对移动应用,采用源码混淆技术、应用加壳、字节码抽取、字节码虚拟化、字节码转移、汇编指令虚拟化等代码加密技术,为用户提供全面的移动应用加固和攻击防范解决方案。
来源:freebuf.com 2021-07-16 16:51:43 by: 上海蛮犀科技有限公司
请登录后发表评论
注册