随着移动互联网产业蓬勃发展,APP在企业中扮演了越来越重要的角色。有资料显示,2014年,谷歌PlayStore的应用数量达到了143万,首次超过AppleStore的121万。而亚马逊商店的应用数量也达到了39.3万,排名第三。可见,越来越多的企业己经通过APP应用实现企业业务逻辑、核心经营业务逻辑等部署,完成了从PC向手机PAD等智能移动设备的迁移。移动办公、移动交易己经成为企业必须部署的新方式。
1、背景和需求
据不完全统计,2013年至2016年企业APP开发市场规模将突破百亿人民币。企业APP给各大企业带来很大的经济效益的同时,核心的APP安全方面不容忽视。很多企业发现自己开发的APP被仿冒,被二次打包,甚至被加载恶意代码在安卓市场上分发,为企业的信誉形象带来不可估量的损失。同时针对金融,支付等敏感APP的钓鱼、注入、窃取等攻击也层出不穷,为企业的移动化,互联网化发展蒙上了阴影。
2、解决方案
2.1总体设计
为了保障移动应用的安全性,启明星辰公司针对移动应用使用特点进行了大量的研究,针对移动应用系统(APP及其服务后台系统)完整生命周期中遇到的各项风险进行评估,对可能遇到的攻击手段进行预测,并以此构建了一套完善的安全防护体系,保护移动应用APP的安全及移动业务系统的安全。在依据“互联网+”行动计划的建设思想下,启明星辰充分利用先进的技术资源,提供对移动应用全生命周期的安全管控,避免企业数据泄露,避免移动应用被黑客攻击插入恶意广告、图片等,避免用户被手机病毒或被盗版应用欺骗、攻击,保障终端用户的安全,使这些移动应用更好的服务于各个层面的用户群。
2.2移动应用安全服务
2.2.1安全检测
2.2.2安全加固
移动应用安全加固服务是在安全检测服务的技术上,对移动应用的脆弱性、业务安全风险、内容安全问题以及缺陷漏洞等问题进行整改加固的服务。对已经开发设计完成的APP进行技术处理,使其具备更强安全防护能力的过程。安全加固主要针对AndroidAPP进行,广义的说iOS安全编译器及配套服务也可以称为iOSAPP安全加固。启明星辰公司提供的APP安全加固服务方案同时支持Android和iOS两大主流移动操作系统的APP,并提供多样化的配套服务。
应用安全测试服务
启明星辰公司可以对外提供的测试服务种类:
对测试服务有更高要求的客户,启明星辰公司可提供额外的增值测试服务。一方面增加测试服务的频次,另一方面可以增加测试的项目,支持客户指定测试用例以及对原包(开发完成后未加固的APP)做完整的兼容性、性能、稳定性、功能有效性测试。
2.2.3移动应用渠道监测
渠道监控服务是启明星辰公司针对目前国内AndroidAPP发布渠道过多,市场发布渠道APP来源不确定的特点而提供的监测服务。主要监测市场发布渠道中出现盗版、破解、钓鱼、仿冒等情况,同时提供监测预警、渠道风险评估、盗版APP下架等服务。
2.2.4移动态势感知
移动态势感知主要是通过数据分析套件产品实现,产品致力于构建立体式的移动应用态势呈现方式,采用大数据信息采集、用户行为分析匹配及建模、机器学习算法研究等尖端技术,对当前的设备环境进行严格而全面的监控排查,保证其运行环境的安全性;量化用户的日常操作行为,为开发者完善APP功能及深入挖掘潜能提供有效参考;形象描绘用户及相关群体,为开发者的后续服务及市场定位提供准确的指导。
2.2.5应急保障服务
3、服务收益
3.1产品价值
3.2技术优势
3.2.1特有的动态APP安全检测引擎
启明星辰自主研发的动态APP安全检测引擎包含动态运行分析及服务端渗透测试两个测试功能。通过以上检测手段,能够达到针对APP的客户端安全性、敏感信息保护机制和其他方面的安全进行全方位的安全测试的目的。
3.2.2高安全性的分布式加解密技术
提供类多重保护技术,通过静态先抽取DEX中code段,并且加密抽取出的code段,形成被抽空保护的DEX文件;动态内存解密、加载、动态回填、运行加密后DEX文件的保护方式,这种保护方式避免了系统生成临时的DEX缓存文件,并且有效的屏蔽逆向破解者通过静态反汇编阅读代码指令的可能,并且也在一定程度上防止了内存dump。
3.2.3独有的MMS融合技术
so融合方式可以融合两个或者多个so合并为一个so文件,使得壳代码以so的形式融合到行方的so中,并且可以实现用高级语言书写壳代码的功能。如果客户有技术基础,只需遵循启明星辰的接口协议,即可自行定制书写so壳代码,因客户自行书写壳代码的实现逻辑,更利于壳代码自身的安全性,启明星辰只负责so融合。
算法加密库深度定制,有开发能力的客户可以根据自己的需要定制书写加解密算法,只需遵循启明星辰的接口协议。实现算法逻辑及秘钥是掌握在客户手中的,启明星辰只负责融合。
3.2.4高兼容性的安全加固技术