安全加固是保障App安全运营、降低安全风险的重要手段,根据爱加密携手天翼安全编写《2023上半年全国移动应用安全观测报告》显示,截止2023年上半年已采取安全加固的应用约2万款,占11.97%,未采取安全加固的应用占总量的88.03%。App不进行安全加固等同裸奔,使用低强度加固将存在被被插入/替换广告SDK、修改支付渠道、插入病毒/木马程序风险,以及手机端及传输层数据泄露风险。为提升安全防护能力,全方位保护App的安全,爱加密不断升级安全加固技术。经过多次迭代更新,爱加密已拥有八代安全加固技术,当下我们给大家提供的安全加固策略是第二代技术到第八代AII-in-VMP技术的叠加,目前爱加密成功在保证安全加固强度的情况下,将对性能的影响控制到最小,启动时间增量小于1秒,包体大小变化±5%,各代技术可见下图。
在Android防逆向保护方面,主要基于二代整体加密至第六代双重VMP技术。第五代DEX VMP技术将原来的DEX 字节码转换为爱加密自定义的字节码,这些自定义的字节码只能由爱加密自定义的虚拟机解释器执行。可完全改变APK中代码的表现形式,把原始指令转换成自定义指令;并重新自定义虚拟机指令,攻击者根本无法执行。每次进行安全加固时,随机使用不同的自定义指令集,攻击者很难找到指令映射关系。同时向后兼容,保证Android未来版本的良好兼容效果。整体加密、代码分离加固技术都属于代码的隐藏技术,最终代码还是通过Dalvik/ART虚拟机进行执行。因此,破解者可以通过构建一个自己修改过的虚拟机来对保护方案进行脱壳。第五代VMP保护技术从根源上解决了虚拟机运行时导致的源码逆向的问题,破解者使用静态工具逆向后能够看到类名、方法名和类全局变量。但是由于使用爱加密自定义指令集,破解还原明文DEX成本极高。
爱加密六代双重VMP保护技术降低了反编译出来的代码的阅读性,提升逆向难度。虚拟解析器增加动态调试难度,有效对抗动态调试。打乱静态反编译之后程序执行流程。使用DEX VMP + ELF VPM 全方位保护Android APP代码安全。此外还提供Java2CPP加固、so文件保护、DEX字符串加密、插件加密等技术进行防逆向保护。Java2CPP加固可将DEX文件中的Java代码转化成C++代码,并将转化后的C++代码编译成动态库即so文件,加固后的APK包的DEX文件的Java代码就转化成了二进制代码形式,提升了加固后应用的兼容性和性能。因加固后的APK包中的Java代码已经转化成了二进制代码,所有可防止DEX文件被静态反编译获取源码,并且能有效的防止破解者通过动态调试的方式获取DEX文件中的Java代码。结合爱加密自有的so源码混淆、so加壳、so VMP技术对转化后的二进制代码进行加固,提高了加固后应用的安全性。
爱加密字符串加密技术对DEX文件中的明文字符串(如密钥、敏感信息等)进行加密,防止敏感信息泄露,防止攻击者通过明文字符串定位关键代码。字符串加密采用一次一密,每次加固后的密文都不相同,防止破解分析。
爱加密移动应用安全加固平台为开发者提供全面的移动应用安全加固技术,包括Android应用加固、iOS应用加固、游戏应用加固、H5文件加固、微信小程序加固、SDK加固、so文件加固和源对源混淆加固技术,从根本上解决移动应用的安全缺陷和风险,使进行安全加固后的移动应用具备防逆向分析、防二次打包、防动态调试、防进程注入、防数据篡改等安全保护能力,本文介绍的仅为爱加密移动应用安全加固平台中Android防逆向技术。
爱加密长期以来不断对核心技术进行深入研究,目前已支持各大厂商深度定制系统、拥有1000款真机测试资源,兼容性极佳。经过深度安全加固后对性能影响极小,启动时间增量小于1秒,包体大小变化±5%!
爱加密作为国内知名的移动信息安全综合服务提供商,通过不断探索与实践,已覆盖政企、运营商、金融、医疗、教育、能源等多个行业的安全业务场景。并参与了中央网信办、工信部、公安部、市场监督管理总局等国家监管单位制定移动应用、移动支付相关的标准规范;未来将继续凭借自身技术优势、业务资质优势、产品方案优势等,守护互联世界。
END
欢迎给我们留言或评论~
我们将持续发布技术解读、解决方案、行业报告
上一篇: 没有了