走在安全前列的公牛如何做App 应用加固?
随着移动互联网的发展,App 使用的普遍性已不言而喻。但与此同时,App 的风险也成为企业的关注重点之一。
据《全国移动APP风险监测评估报告》显示,对约 318 万款安卓版本应用宝进行风险监测,其中有高危漏洞的约 290 万款,占应用总数的 99.41%。在百度搜索App 破解关键词,相关结果约100000000个,足见 App 的风险之大。
当然,App 除了有被黑灰产攻击风险,其被山寨的问题更是屡见不鲜,仿冒者通过解包、逆向分析、代码拷贝、简单开发并打包就可以进行山寨 App 应用上架,严重影响 App 开发者和用户的利益。
此外,在 App合规治理方面,也是App 长期存在的难题之一。今年3.15晚会,App 合规治理便成为了各界聚焦的话题之一。并且,随着国家监管的趋严,App 的安全治理也将成为重中之重。
6月14日,国家互联网信息办公室(以下简称“网信办”)公布了《移动互联网应用程序信息服务管理规定》(以下简称《规定》),明确了App提供者和分发者须履行信息内容管理主体责任,建立数据安全和个人信息保护等管理制度,坚持正确舆论导向的同时,履行社会责任,维护清朗网络空间。
正是基于这一背景,公牛集团认为对 App 进行安全监测与加固系统至关重要,同时这也是公牛集团需要履行的社会责任。
牛数的应用安全先见
公牛集团旗下 App 牛数是公牛集团内部使用的 App ,自 2018 年成立起,牛数便一直很重视 App 的加固问题。
“尽管牛数自推出以来,并未出现安全问题,但风险往往是无形的,有备无患总比亡羊补牢有效”。牛数负责人谈到App 加固的重要性时说到。
安全产品对于企业的意义也往往是这样,并不是企业出了问题才需要安全产品,而是企业时刻有意识保护自己的业务安全,才需要安全产品给予“安全感”。
因此,牛数首先想到了App 加固。
App 加固是对App 代码逻辑的一种保护,其原理是将应用文件进行某种形式的转换,包括不限于隐藏、混淆、加密等操作,通过 App 加固技术不仅可以提高对逆向后的代码阅读难度、而且有利于降低 App 被破解、插入病毒、木马、后门程序等恶意代码的风险,同时也能增强用户隐私数据、交易数据的安全性。通过 App 加固技术,也是为了更好应对国家对 App 安全合规监管检测的标准,降低 App 被第三方媒体曝光,从而严重影响企业品牌形象和信誉,为企业和开发者的业务正常发展保驾护航。
顶象 App 加固为牛数“筑墙”
公牛集团牛数 App 作为企业内部智能办公使用系统,更重要的是保证系统的平稳、安全运行,因此,顶象从移动应用的安全角度出发,对牛数的设计开发测试到上线发布再到运营维护全生命周期的安全进行全周期防护。
因为牛数 App 的开发环境是 iOS,顶象 iOS 加固保护自然也成为了适配的产品。
顶象 iOS 加固保护是顶象基于虚机源码保护技术,针对 iOS 平台推出的下一代加固产品。可以对 iOS App 中的可执行文件进行深度混淆、加固,并使用顶象独创的虚拟机技术对代码进行加密保护,使用任何工具都无法直接进行逆向、破解。对 App 进行完整性保护,防止应用程序中的代码及资源文件被恶意篡改。
在部署方式上,顶象 iOS 应用加固拥有本地化部署和 SaaS 部署两种方式,能够满足不同用户的安全需求。由于无需上传源代码,开发者无需担心代码泄漏问题。灵活的一键加固功能,操作便捷,不影响正常开发及打包流程。纵然遇到在 App 上架审核的代码问题,也可以根据需要灵活调整保护配置,如代码混淆强度、代码混淆比例、虚机保护强度等,以良好满足代码审核要求。
在具体的安全防护上,主要有以下几个方面的防护效果:
首先,所有的安全威胁与黑客攻击最终都是通过代码的脆弱性实现入侵的,代码安全是最本质、最核心的问题。针对代码安全,顶象能够针对已有应用进行安全性检测,发现应用存在的风险漏洞并针对性进行修复整改,同时,顶象也可对敏感数据、代码混淆、代码完整性、内存数据等进行保护,从源头上避免系统漏洞对于应用本身造成的安全影响;
其次,顶象的移动安全预警监测平台可以帮助牛数提供移动应用运行是进行安全监测,对移动应用运行时终端设备、运行环境、操作行为进行实时监测,帮助牛数建立运行时风险的监测、预警、阻断和溯源安全体系;
当前,App 应用安全加固呈现常态化、泛边界化和专业化的趋势,这意味着企业自身简单的防护已经无法满足当前网络安全防护的新趋势,亟待建立更为全面的安全防御体系。顶象的移动应用全生命周期安全解决方案可以从客户端的设计、开发、发布、维护等全生命周期环节解决移动应用在核心代码安全、逻辑安全、安全功能设计、数据传输链路安全等多个维度的问题,助力牛数筑牢移动互联网、物联网网络安全防线。
未来,顶象将继续在 App 加固层面升级迭代,为更多企业和开发者的业务正常发展保驾护航。