企业移动应用安全的攻守道:技术+协同并行
众所周知,因为安卓系统的开源性,所以相对容易被破解。一个应用如果不做任何安全防护就犹如裸奔一样,极易被病毒植入、广告替换、支付渠道篡改、钓鱼、信息劫持等,严重侵害企业或开发者的利益。
那么,保护用户信息安全、保证企业或开发者的利益,便成了当前移动安全行业亟待解决的问题之一。
应用加固、系统签名易被攻破 与嵌入SDK结合全方位守护APP安全
目前,通过应用加固的方式能在一定程度上达到反编译和防止被二次打包的效果。据了解,包括BAT在内能提供的应用加固服务的公司,加固原理大多相似,主要依赖于隐藏DEX文件。事实上,在APP运行时DEX文件依旧会释放到内存,黑客只要从内存DUMP出DEX,即可实现反编译。同时,因为加固会影响运行效率,有些加固只是对核心逻辑进行有效的保护,所以导致多数维护运行的代码暴露在外。
通过操作系统的签名系统也可以在一定程度上防止仿冒的APP被安装。2017年12月9日,Google通告了可“绕过签名”的Janus高危漏洞。其实,签名根本不需要绕,黑客只需注册公司申请签名,修改APP后留下签名便可,毕竟没有多少人会在安装APP后再回头看安装的APP签名是不是所属公司的。即便会看,也很难分辨出各种区别。
APP加固主要依赖于隐藏DEX文件
说到应用加固、系统签名这两种主流的防护手段易被攻破,相信很多人会提问:就当前技术而言,就没有办法应对威胁了么?当然不是,除了应用加固进行数据加密、逻辑混淆及签名系统进行确认签名之外,应结合在应用中嵌入SDK来保证应用安全。据了解,易安睿龙ACR就是将SDK嵌入应用中,一旦发现应用被黑客篡改,便会基于自身应用商店重新下载应用,将脱壳应用拒于应用服务器之外。
易安睿龙ACR守护应用安全 将脱壳应用拒于应用服务器之外
易安睿龙ACR是在APP使用时,通过独有的“鸡尾酒校验法”针对APP进行在线校验,保证应用软件与发布版本每个文件的一致性,如有任何风险及时修复,并能够对APP进行审核,不符合要求的用户便无法接入应用服务器,从而保证应用的可用性、安全性。
除了在应用运行阶段进行环境隔离、访问策略、身份识别、数据加密外,还增加了应用校验、应用修复、应用准入、问题回溯等功能,同CA身份认证系统和VPN系统联动构成立体防御。
同时,其独创具有自主知识产权的“鸡尾酒校验法”有效保证了企业核心数据及企业形象安全。除非黑客攻破位于数据中心内的ACR服务器时,又反编译了包括ACR client端的全部APP客户端,以及TLS 1.2加密算法。否则,是无法对企业的数据和形象造成任何影响的。也就是说有了ACR,企业应用被黑客攻破的可能性无限趋近于零。据了解,目前市场上并没有ACR同类的解决方案。
易安睿龙---MAKE APPS GO SAFER.
从机场登机流程看移动应用安全类产品 安检势在必行
如果把APP登录服务器过程比喻机场登机流程的话,会更容易理解应用加固类产品与ACR之间的区别:对乘客的身份证核查过程相当于APP的身份认证,目前绝大部分程序都只采用这一层安保措施;随身物品安检就相当于ACR完成的工作,也就是对登录服务器的APP程序本身进行安检,保证登陆服务器的访问全都是通过干净安全的程序进行。而应用加固更像航空公司给乘客的行李上把锁,看起牢不可破,但有被不法分子采用非法手段打开的风险。
以上,我们不难发现,实际上应用加固类、系统签名类产品与易安睿龙ACR产品在技术实现路线上具有本质的区别,但是三者目的相同,都是为了保护企业级移动应用程序安全。而在移动安全这场攻坚战中,无论是加固还是认证都十分必要,行业更需要移动应用安全厂商协同合作,共同应对威胁。