近日蘋果APP安全事件一時(shí)成為熱點(diǎn),蘋果也已經(jīng)證實(shí)大量應(yīng)用程序被惡意代碼感染许布,多款知名社交兴革、地圖、出行APP的iPhone版均被爆出有“惡意代
碼”蜜唾,騰訊發(fā)布報(bào)告稱受影響用戶可能超過1億杂曲。記者多方采訪了解到,本次事件“源頭”叫Xcode灵妨,受惡意代碼影響解阅,由這款工具開發(fā)的iOS版APP以及
MacOS的程序都會(huì)被影響落竹,都存在泄露個(gè)人隱私的危險(xiǎn)泌霍。
除了長(zhǎng)期標(biāo)榜自身安全性卻陷入安全危機(jī)的蘋果,還有長(zhǎng)期處于尷尬境地的安卓
平
臺(tái)述召,面對(duì)安卓操作系統(tǒng)大家應(yīng)該知道朱转,Android是一種基于Linux的自由及開放源代碼的操作系統(tǒng),主要應(yīng)用于手持設(shè)備积暖。主要使用于移動(dòng)設(shè)備藤为,如智能
手機(jī)和平板電腦,據(jù)統(tǒng)計(jì)全球移動(dòng)平臺(tái)的安全問題80%來源于安卓平臺(tái)夺刑。根據(jù)騰訊發(fā)布的《2015年上半年手機(jī)安全報(bào)告》顯示缅疟,2015年上半年
Android手機(jī)病毒包新增596.7萬(wàn)個(gè),相對(duì)去年同期遍愿,同比增長(zhǎng)1741%存淫。安卓手機(jī)早已經(jīng)成為病毒軟件攻擊的重災(zāi)區(qū)。
網(wǎng)絡(luò)安全公司Zimperium研究人員2015年07月27日警告沼填,全球應(yīng)用最廣泛的移動(dòng)設(shè)備操作系統(tǒng)之一安卓(Android)存在“致命”安全漏洞桅咆,黑客只需簡(jiǎn)單發(fā)送一封彩信便能在用戶毫不知情的情況下完全控制手機(jī)。
針對(duì)Androidapk安全現(xiàn)狀分析
Android系統(tǒng)由于其開源的屬性坞笙,市場(chǎng)上針對(duì)開源代碼定制的ROM參差不齊岩饼,在系統(tǒng)層面的安全防范和易損性都不一樣荚虚,Android應(yīng)用市場(chǎng)對(duì)
app的審核相對(duì)iOS來說也比較寬泛,為很多漏洞提供了可乘之機(jī)籍茧。市場(chǎng)上一些主流的app雖然多少都做了一些安全防范版述,但由于大部分app不涉及資金安
全,所以對(duì)安全的重視程度不夠寞冯;而且由于安全是門系統(tǒng)學(xué)科院水,大部分app層的開發(fā)人員缺乏安全技術(shù)的積累,措施相對(duì)有限简十。據(jù)小編了解:反編譯
Android apk 現(xiàn)象的發(fā)生主要原因檬某,在于開發(fā)商投入市場(chǎng)的Android apk包未經(jīng)任何加固保護(hù)。
比如去年央視曝光的一
款名為“銀行悍匪”的手機(jī)銀行木馬螟蝙,模仿真正的手機(jī)銀行軟件恢恼,通過釣魚方式獲取用戶輸入的手機(jī)號(hào)、身份證號(hào)胰默、
銀行賬號(hào)场斑、密碼等信息,并把這些信息上傳到黑客指定服務(wù)器牵署。盜取銀行賬號(hào)密碼后漏隐,立即將用戶賬戶里的資金轉(zhuǎn)走。手機(jī)木馬有的獨(dú)立存在奴迅,有的則偽裝成圖片文
件的方式附在正版app上青责,隱蔽性極強(qiáng),部分病毒還會(huì)出現(xiàn)變種取具,并且一代比一代更強(qiáng)大脖隶。
關(guān)鍵信息泄露,雖然java代碼一般要做混淆暇检,但是Android的幾大組件的創(chuàng)建方式是依賴注入的方式产阱,因此不能被混淆,而且目前常用的一些反編譯工
具比如apktool等能夠毫不費(fèi)勁的還原java里的明文信息块仆,native里的庫(kù)信息也可以通過objdump或IDA獲取构蹬。因此一旦java或
native代碼里存在明文敏感信息,基本上就是毫無安全而言的悔据。
apk 重打包庄敛,即反編譯后重新加入惡意的代碼邏輯,從新打包一個(gè)apk文件蜜暑。重打包的目的一般都是上面提到和病毒結(jié)合铐姚,對(duì)正版apk進(jìn)行解包,插入惡意病毒后重新打包并發(fā)布,因此偽裝性很強(qiáng)隐绵。截住apk重打包就一定程度上防止了病毒的傳播之众。
使用第三方安全服務(wù)對(duì)APP進(jìn)行安全加固
愛加密移動(dòng)應(yīng)用安全加固平臺(tái)(www.ijiami.cn)是一家針對(duì)移動(dòng)應(yīng)用提供一站式安全加密保護(hù)服務(wù)平臺(tái)。面對(duì)手游行業(yè)的反編譯現(xiàn)象依许,愛加密為開發(fā)者獨(dú)家提供so文件專屬定制加密棺禾;通過對(duì)資源文件的保護(hù)防竊取、防資源文件篡改峭跳;提供多種不同的加密方式滿足不同用戶膘婶、不同場(chǎng)景的使用需求。
通過apk加固防止反編譯蛀醉,對(duì)dex源文件進(jìn)行加固保護(hù)悬襟,隱藏源代碼;對(duì)資源文件拯刁,主配置文件進(jìn)行指紋校驗(yàn)保護(hù)脊岳,來防止二次打包,從根本上杜絕反編譯和
盜版垛玻。另外針對(duì)有不同需求的開發(fā)者愛加密提供定制服務(wù)割捅,包括通訊協(xié)議保護(hù)、高級(jí)內(nèi)存保護(hù)等帚桩,全方位保護(hù)apk安全亿驾。具體操作移動(dòng)應(yīng)用開發(fā)者只需上傳一個(gè)應(yīng)
用apk包,就可獲得全方位的app加固保護(hù)方案账嚎。其他所有操作均由系統(tǒng)和愛加密工作人員完成莫瞬,對(duì)DEX文件、資源文件醉锄、主配文件乏悄、SO庫(kù)文件加固,做好
二次打包防護(hù)恳不,把靜態(tài)破解和動(dòng)態(tài)破解拒之門外,加密后可有效防止應(yīng)用被反編譯开呐,嵌入病毒烟勋、惡意扣費(fèi)SDK、廣告SDK等筐付,防止被非法漢化卵惦,可將安卓漏洞風(fēng)
險(xiǎn)降低。從而做到安卓apk安全加固的目的瓦戚。
針對(duì)iOS平臺(tái)的安全風(fēng)險(xiǎn)沮尿,愛加密也提供了解決方案,如愛加密提供了針對(duì)Xcode進(jìn)行
檢
測(cè)的工具。在安裝新的Xcode之前對(duì)dmg文件進(jìn)行md5驗(yàn)證畜疾,確保跟官方AppStore上的一致赴邻。對(duì)于已經(jīng)安裝部署好的Xcode開發(fā)環(huán)境,對(duì)關(guān)鍵
文件夾進(jìn)行對(duì)比檢測(cè)啡捶,列出與官方發(fā)布版本不一致的文件姥敛,進(jìn)行風(fēng)險(xiǎn)的提前規(guī)避。