如今丰富的移动应用让人们能够上晓天气预报,下可在线导航。但当您正在兴高采烈的玩着破解版的《疯狂小鸟》时、通过手机银行在线支付购买爱疯6时,你可知,某些移动应用并不像表面所看到的那样“友善”,恶意代码很可能恰恰暗藏其中。
移动安全的“阿喀琉斯之踵”——移动应用
现在人们的手机里经常会收到身边朋友所分享、据说很火的各种测验应用、小型手机游戏应用等等,这些应用的共同特点就是简单、易上手,而且都是在极短的时间里变得很“火”。同时,在这些应用的热度尚未消褪之际,往往大量的山寨版本就会跟风而至。这些山寨应用主要有两类,一种是创意模仿,仅仅改头换面一番便推出,跟风赚取下载量;另外一种就很危险了,这类应用在界面上毫无变化,但代码却大有问题,多出了一些危险的功能,比如在网友用手机登录网银时偷偷记录下账号密码。
据iiMedia Research 2014年的移动安全调查数据显示,2014上半年巴西足球世界杯期间,6.4%遭遇手机安全问题的智能手机用户所遇到的是与世界杯相关的手机安全问题。其中,植入与世界杯有关的游戏、新闻等恶意程序的移动应用占比43.5%。
随着各类智能移动终端的快速普及以及移动互联网的快速发展,移动终端安全问题已经得到广泛重视。但有一个环节正在成为移动安全的短板——移动应用自身的安全性问题。现在人们在开发移动应用时往往很少考虑到安全问题,而这就导致移动应用的版权难以获得保护,移动应用容易被破解甚至被植入恶意插件。一方面APP开发者的合法收益无法得到保障,另外一方面则会使得用户隐私及机密数据时刻面临被恶意泄漏的危险。
移动应用的安全隐忧
正常而言,移动应用在开发出来后,需要进行安全评估工作。也就是由具备高技能和高素质的安全服务人员发起,模仿黑客所使用的常见攻击手段对目标系统进行模拟入侵,充分挖掘和暴露出移动应用的系统弱点,从而让开发及管理人员了解其系统所面临的威胁。基于数据生命周期的安全测试,会采用黑盒渗透攻击和白盒代码审计的方式,对移动应用的程序、数据、通信、业务、系统环境等进行全面安全测试,检测数据的输入、处理、输出以及数据运行时系统环境的安全性,发现移动应用的安全缺陷及安全漏洞。
但梆梆安全实验室的统计测试显示,国内大多数移动应用都存在安全测试未通过的问题,移动安全机制存在缺失,移动应用面临严重安全风险,比如应用被二次打包插入恶意代码、用户信息被窃取泄漏、企业业务系统被篡改劫持、客户端代码缺陷和逻辑漏洞被暴露等等。根据梆梆安全大数据监控系统统计,许多知名移动金融APP都遭遇过篡改和病毒二次打包。这些二次打包操作可以对客户端程序添加或修改代码,修改客户端资源图片、配置信息、图标等,生成新的钓鱼应用客户端程序。还可以对金融客户端添加病毒代码、广告SDk,推广自己的产品,或者添加恶意代码窃取登录账号密码、支付密码、拦截验证码短信,修改转账目标账号、金额等等。
安全加固让移动应用免受恶意威胁
为了保障手机安全和维护APP开发者收益,对APP开发端保护的应用加固服务应运而生。2011年梆梆安全进入应用加固领域,2012年爱加密跟进。2014年,随着盗版APP危害加重,APP分发渠道间竞争加剧,为了吸引更多开发者和用户,360、百度、腾讯等APP分发平台纷纷推出免费的应用加固服务。
对移动应用的安全加固主要有代码加密、反调试和完整性校验等技术。早期的安全加固采用了基于类加载的技术,但其难以对抗动态分析,而且无法从本质上解决内存dump的问题。而第二代安全加固技术采用了Java虚拟机执行方法的机制,加密粒度从Dex文件变为方法级别,能够按需解密。这意味着内存中不会出现完整的解密代码,而且如果某个方法没有执行就不会进行解密操作,移动应用的安全性得以大大提升。
为防止应用遭逆向分析、恶意篡改等恶意行为,需要采取一系列保护措施,包括安全评估、方案生成、应用加固、渠道检测等环节。安全评估会检测移动应用潜在的风险点,帮助开发者快速发现问题,是应用加固的第一步。腾讯、梆梆等进行的安全评估多是针对常见的静态破解、二次打包、协议抓取等安全漏洞进行检测。针对安全评估环节检测出的安全漏洞,需要提供相应的应用加固方案。目前,360、腾讯、百度等主要提供基础性的加固方案,而梆梆等专业加固服务商还会提供高阶、订制化的加固方案。现在360、腾讯、百度、梆梆等都可实现上传即可加固的集成服务,类似“梆梆盒子”等提供加固服务的客户端产品也受到越来越多开发者的欢迎。在正版手机应用发布后,不论梆梆、爱加密等第三方还是腾讯这样的应用分发渠道,都能够提供多渠道监测服务,对盗版应用进行监控,帮助开发者获取较全面的监测数据,及时掌握被破解和盗版版本等信息。
其实,让移动应用更加安全并不难,开发者只需要遵循移动应用安全开发规范,在进行移动应用客户端开发时使用成熟的安全组件,如软键盘SDK等,并定期对客户端进行安全评估,在发布前加固应用,保护代码安全。这样就可以让用户在享受APP所带来的便捷与乐趣的同时,远离恶意威胁的阴影。
