安全加固让移动应用成为钢铁侠

本篇文章1991字，读完约5分钟

如今，丰富的移动应用使人们能够预测天气和在线导航。但是当你开心地玩着破解版的疯狂小鸟，通过手机银行在线支付爱情疯狂6的时候，你就会知道有些手机应用程序并不像看起来那么友好，恶意代码很可能隐藏在其中。

移动安全的致命弱点移动应用

如今，人们经常会收到身边朋友分享的各种智力竞赛应用和小型手机游戏应用，据说非常受欢迎。这些应用程序的共同特点是简单易用，它们都在很短的时间内变得非常流行。与此同时，当这些应用程序的受欢迎程度还没有消退时，大量的山寨版本往往会紧随其后。这些山寨应用程序有两种主要类型，一种是创意模仿，只有经过改造后才推出，并随着潮流下载；另一个非常危险。界面没有变化，但是代码有一个很大的问题，还有一些危险的功能，比如当用户用手机登录网上银行的时候偷偷记录账户密码。

根据2014年iimedia research的手机安全调查数据，在2014年上半年巴西足球世界杯期间，6.4%遇到手机安全问题的智能手机用户遇到了与世界杯相关的手机安全问题。其中，植入游戏和世界杯相关新闻等恶意程序的移动应用占43.5%。

随着各种智能移动终端的快速普及和移动互联网的快速发展，移动终端的安全性受到了广泛关注。然而，有一个环节正在成为移动安全的短板，以及移动应用本身的安全问题。如今，人们在开发移动应用时很少考虑安全性，这使得移动应用的版权保护变得困难，并且移动应用很容易被破解甚至植入恶意插件。一方面，应用开发者的合法收入得不到保证，另一方面，用户的隐私和机密数据总是会暴露在恶意风险之中。

移动应用的安全问题

通常，在开发了移动应用程序之后，需要对其进行评估。也就是说，它是由高技能和高质量的安全服务人员发起的，模仿黑客用来模拟入侵目标系统的常见攻击方法，充分挖掘和暴露移动应用程序的系统弱点，以便开发人员和管理人员能够了解他们的系统所面临的威胁。基于数据生命周期的安全测试将利用黑盒渗透攻击和白盒代码审计对移动应用的程序、数据、通信、业务和系统环境进行全面的安全测试，检测数据输入、处理和输出的安全性以及数据运行时的系统环境，找出移动应用的安全缺陷和漏洞。

然而，根据Bang Security Lab进行的统计测试，中国大部分移动应用都没有通过安全测试，移动安全机制缺失。移动应用面临严重的安全风险，如应用被重新打包并插入恶意代码，用户信息被窃取和泄露，企业业务系统被篡改和劫持，客户端代码缺陷和逻辑漏洞被暴露。根据“大数据监控系统”的统计，许多知名的移动金融应用都经历了篡改和病毒重组。这些二次打包操作可以向客户端程序添加或修改代码，修改客户端资源图片、配置信息、图标等。，并生成新的网络钓鱼应用客户端程序。您还可以向金融客户添加病毒代码和广告sdk来推广自己的产品，或者添加恶意代码来窃取登录账户密码和支付密码，拦截验证码短信，修改转账目标账号和金额等。

安全强化保护移动应用免受恶意威胁

为了保证手机的安全，维护应用开发者的利益，保护应用开发者的应用强化服务应运而生。2011年，邦邦安全进入应用和加固领域。2014年，随着盗版应用的危害越来越大，应用分销渠道之间的竞争加剧。为了吸引更多的开发者和用户，360、百度等应用发布平台推出了免费的应用加固服务。

移动应用的安全增强主要包括代码加密、反调试、完整性检查等技术。早期的安全加固采用了基于类加载的技术，但难以抵抗动态分析，不能从本质上解决内存转储问题。第二代安全强化技术采用java虚拟机执行方法机制，加密粒度从dex文件到方法级，可按需解密。这意味着完整的解密代码不会出现在内存中，如果不执行某个方法，就不会执行解密操作，从而大大提高了移动应用的安全性。

为了防止应用遭受逆向分析和恶意篡改等恶意行为，需要采取一系列的保护措施，包括安全评估、方案生成、应用强化、通道检测等。安全评估将检测移动应用的潜在风险点，帮助开发人员快速发现问题，这是应用强化的第一步。“砰”安全的安全评估主要是为了检测常见的安全漏洞，如静态破解、二次打包和协议抓取。根据安全评估中检测到的安全漏洞，有必要提供相应的应用加固方案。目前，360和百度主要提供基础加固方案，邦邦等专业加固服务提供商也将提供高水平的定制加固方案。现在，360、百度、邦安等可以通过上传实现可以硬化的集成服务，而像邦盒这样提供硬化服务的客户端产品也受到越来越多开发者的欢迎。正版手机应用发布后，“安全”可以提供多渠道监控服务，监控盗版应用，帮助开发者获取更全面的监控数据，及时掌握破解和盗版版本等信息。

事实上，提高移动应用的安全性并不难。开发人员只需遵循移动应用安全开发规范，在开发移动应用客户端时使用软键盘sdk等成熟的安全组件，并定期对客户端的安全性进行评估，从而在发布前加强应用，保护代码安全。这样，用户可以享受应用带来的便利和乐趣，远离恶意威胁的阴影。