在當今數字時代,移動應用的數量呈爆炸性增長,涵蓋金融、電子商務、社群、醫療、房地産、工業等各行各業。在給人類帶來便利的同時,也給黑客帶來了可乘之機,移動黑産也越來越強大,他們的重點是從傳統的PC網站轉移到移動網際網路的戰場。盡管國内近五年網際網路安全行業發展迅速,優秀的安全防護産品層出不窮,但黑客攻擊手段也日益變化,想從根本上解決網際網路安全問題,目前無從下手。
以前,我們談過網站如何保護安全。今天,我們談談移動應用程式如何保護安全、常見的攻擊手段和解決方法。
一、APP二次包裝。
現在移動網際網路的應用涵蓋了整個行業,其中也有很多投機家,他們的開發經費不夠,想以最低的成本營運市場上的起爆産品,是以開始了APP解讀的想法。他們雇用黑客,反譯APP,修改重要代碼和伺服器的連接配接方式,重新包裝,最後簽字,生成與原創相同的應用。然後向一些不正當的管道公布謀取利益。此外,還有一些黑色組織在破解應用程式後添加惡意代碼,如擷取相冊資料、擷取位址簿和短信資料,以及進階黑客技術監控銀行賬戶等敏感資訊。解決方案:APP的唯一标志是簽名,開發團隊和開發公司可以追加防止二次包裝的相關代碼,可以預防一些小毛賊。目前,國内主流軟體分發平台也對APP進行了盜版識别,但由于疏忽,盜版APP、木馬式APP蔓延開來。如果想以更高效的方式解讀APP的話,建議咨詢網站安全公司,加強APP本身的安全性,大幅度增加了編譯、調整和二次包裝的難易度。
二、攔截重要函數。
插件技術的本質是通過攔截APP軟體的重要函數,模拟APP用戶端,欺騙伺服器發送虛假資料的手段。例如,瘋狂的紅包軟體,其原理是利用HOOK技術攔截紅包函數,制作插件與APP函數對接,達到插件的目的,一些大型APP軟體具有HOOK識别機制,但大多數APP仍然沒有保護的概念。解決方案:混淆或加密關鍵函數或代碼執行過程。
三、敏感資訊洩露。
許多開發人員認為APP移動軟體安全性高,不太重視用戶端的安全。出乎意料的是,黑客滲透方式的方法超出了想象。通常,他們會編譯APP軟體可以閱讀的代碼,從中提取敏感的資訊,如通信密鑰、客戶加密算法、常量資料等。擁有這些重要資料後,根據資料通信協定進行網絡滲透,最後侵入伺服器。解決方案:一定要混淆、分割、重組重要資訊,安全無小事。如果開發團隊不太了解如何操作,請與我們商量,對APP進行全面的安全評價,以黑客的想法對軟體運作的各個環節進行滲透型測試攻擊,挖掘APP存在的漏洞和風險。
四、通信協定解讀。
結合挖掘出敏感資訊和加密算法,黑客通常通過APP用戶端和伺服器通信進行滲透攻擊,常見的通信方式有HTTP、Socket、WebSocket等,有這些重要資訊後,僞造用戶端指紋由于開發商缺乏安全意識,伺服器和資料庫陷落,給客戶帶來了不可估量的損失。解決方案:做好伺服器安全信任認證,提高開發人員的安全意識,讓我們的創造性安全進行安全評價和長期安全運輸,防止未來是最好的保護,如果想要對公司或自己的安卓APP或IOS-APP進行全面的安全滲透測試,檢測APP的安全性的話可以向SINESAFE,鷹盾安全,綠盟,大樹安全等等尋求這方面的服務,畢竟術業有專攻。
五、開發商疏忽。
大多數開發人員沒有安全意識,其中軟體開發公司更嚴重。他們專注于實作客戶的需求,不考慮現在的代碼是否有安全上的危險。在生産軟體的同時,也生産脆弱性,沒有任何軟體是完美的,沒有脆弱性。是以,建議網絡安全技術人員對代碼進行安全審計,挖掘漏洞,避免風險。無論是大型軟體還是小型軟體,安全穩定都是APP營運的标準。否則,即使是更好的商業模式也無法忍受網絡攻擊的推敲。大型軟體受到競争對手和黑産組織的威脅,小型軟體黑客通過掃描式随機攻擊侵入伺服器,稍有疏忽的平台被黑客利用。