当今这个数字化时代,移动APP数量呈爆炸式增加,覆盖金融、电商、社区、医疗、物业、工业等各行各业。给人类带来便利的同时也给黑客带来了可乘之机,移动端黑产也在日益强大,他们的重点从传统的PC网站转移到移动互联网的战场。虽然国内近5年来网络安全行业发展迅速,优秀的安全防护产品层出不穷,但黑客的攻击手段也在日益变化,想从根本上解决网络安全的问题,目前是无法做到的。
之前我们聊过网站如何做好安全防护,今天我们聊聊移动APP该怎么样做好安全防护,常见的攻击手段和解决方式。
APP安全防护_创途安全一、APP二次打包
如今移动互联网应用覆盖了全行业,其中也有不少投机者,他们研发经费并不充足,想用最低的成本来运营市面上爆款产品,所以打起了APP破解的主意。他们会雇佣黑客,通过对APP进行反编译,修改关键代码和服务器连接方式,再重新打包,最后进行签名,生成了一款与原创一模一样的应用。然后发布到一些不正规的渠道从中谋利。
除此之外,还有一些黑产组织,他们把APP破解后,加入恶意代码,比如:获取相册数据、获取通讯录、短信数据,更有甚者通过高超的黑客技术监控银行账户等敏感信息。
解决方式:
APP的唯一标识就是签名,开发团队或者开发公司可以添加防二次打包的相关代码,可以预防部分小毛贼,目前国内主流软件分发平台也会对APP进行盗版识别,但依然有不少分发平台由于疏忽,造成了盗版APP、木马式APP猖獗传播。想要更高效的方式APP被破解,建议咨询网络安全公司,他们会对APP自身进行安全加固,大大地增加了反编译、反调试和二次打包的难度。
预防黑客攻击_创途安全二、关键函数拦截
外挂技术的本质就是通过对APP软件关键函数的拦截,模拟APP客户端来欺骗服务器发送虚假数据的手段。例如猖狂的抢红包软件,它的原理就是利用HOOK技术来拦截抢红包函数,并且编写插件与APP函数对接,来达到外挂的目的,虽然有些大型APP软件会有HOOK识别机制,但绝大多数APP依然没有防护的概念,经营者辛辛苦苦打磨的软件,反而成为了别人的嫁衣。
解决方式:
对关键函数或代码执行流程进行混淆或加密。
信息安全防护_创途安全三、敏感信息泄露
有不少开发者觉得APP移动软件的安全程度很高,根本不太重视客户端的安全。殊不知黑客渗透方式的途径超出了想象,通常情况下,他们会对APP软件进行反编译出可以读懂的代码,从其中提取敏感信息,比如:通信秘钥、客户端加密算法、常量数据等。拥有这些关键数据后会根据数据通信协议,进行网络渗透,最后入侵服务器。
解决方式:
一定一定一定要对关键信息进行混淆、拆分、重新组合,安全无小事。如果开发团队不太了解如何操作,可以找专业的网络安全公司,他们会对APP进行全面的安全评估,会以黑客的思维对软件运行的各个环节进行渗透型测试攻击,来挖掘出APP存在的漏洞和风险。
通信安全防护_创途安全四、通信协议破解
结合挖掘出的敏感信息和加密算法,黑客通常会通过APP客户端与服务器通信的方式进行渗透攻击,常见的通信方式有HTTP、Socket、WebSocket等,有了这些关键信息后,通过伪造客户端指纹,欺骗服务器达到入侵的目的。由于开发人员对安全意识的不足,从而导致服务器和数据库沦陷,为客户产生了不可估量的损失。
解决方式:
做好服务器安全信任认证,增强开发人员的安全意识,请专业的网络安全公司进行安全评估或长期的安全运维,防范于未然才是最好的保护。
代码审计_创途安全五、开发人员疏忽
绝大多数的开发人员不具备安全意识,其中软件开发公司更为严重。他们专注于实现客户的需求实现,而不会去想当前的代码有没有什么安全隐患。在生产软件的同时也在生产着漏洞,没有任何一款软件是完美的、没有漏洞的。所以建议让网络安全技术人员对代码进行安全审计,挖掘漏洞,规避风险。
不论大型或小型的软件,安全稳定才是一款APP可运营的标准,否则再好的商业模式也经不起网络攻击的推敲。大型的软件会遭到竞争对手或者黑产组织的威胁,小型的软件黑客会通过扫描式随机攻击对服务器进行入侵,稍有大意平台将被恶意分子利用。
最后的最后,小编想说:“一款软件最好的安全防护措施,一定是防范于未然,遇到了攻击再去处理,你的用户还会信任你吗?”