移动互联,大家已经进入智能机时代,每天点击的APP次数不下100次。手机系统内的APP,它们也是一个相对独立存在的个体,你的数据、信息等,都存储于其中,但你有没有想过这些APP在为我们服务的同时,谁在保障这些APP安全的运行?
移动 APP 已逐步渗透入我们的生活,据统计,2016年,APP 发行数量仅电商、金融、游戏这三大类共计高达2万左右,国内移动互联网活跃用户数已经突破10亿,移动互联网这样快速的推移,则是移动APP由开发、运营、维护、完整链条式的整体性压力,而在这样的过程中,可想而知移动互联网的安全问题更为严峻。
移动互联,大家已经进入智能机时代,每天点击的APP次数不下100次,你可能为你手机的屏幕,去贴一个屏幕保护膜或者买一个手机壳,但对于手机系统内的APP,它们也是一个相对独立存在的个体,你的数据、信息等,都存储于其中,但你有没有想过这些APP在为我们服务的同时,谁在保障这些APP安全的运行?
而据B2B圈记者“傻鱼”了解,随着各大主流厂商的智能手机领域渗透到了人们的日常和安卓系统的越来越成熟,app开发人员队伍也逐渐庞大了起来,世面上的两大主流开发:
IOS 和Android app的文件格式呢也就是 .ipa 和 .apk。
而重APP的安全可分为三方面来讲:
一为从开发的角度来讲则是app源代码安全问题,基于代码审计层次的。
二为从软件保护角度来讲app安全则是对源代码的代码混淆,资源加密,逻辑加固。
三为从用户的角度来讲就是app本身的安全性,是否会对个人隐私财产造成损失,是否是值得信赖的第三方平台。
今天,我们所说的就是第二方面:APP在为我们服务的同时,谁在保障APP安全的运行?
谁在为APP保驾护航
移动平台攻防技术的发展基本是沿着PC端发展轨迹在进行,从windows平台的加壳脱壳反调试反反调试到Andriod的平台apk加固,世面已经有很多家可以拿出自己产品的app加固方案并投入产品中。(傻鱼也不想拽这么专业的词汇,但为了表达“加固”这样的技术,希望大家可以理解。)
为什么要有app加固这个环节呢 ?
其实就和PC上所说的为什么要有壳这个问题是一类,没有加固的App经过反编译之后,所有资源,算法,代码逻辑,内部封装,赤裸裸的躺在那里,毫无隐私和保密可言. 笼统的说app加固是对原本容易暴露的程序和运行逻辑进行保护,而不影响程序本身的运行结果。详细点说,就是在二进制的程序中植入一段代码,在运行的时候优先取得程序的控制权,做一些额外的工作。大多数病毒就是基于此原理,是应用加固的一种手法对原始二进制原文进行加密/隐藏/混淆,类似于PC上的壳。
既然已经知道“加固”是一种怎样的技术了,那么这项技术与APP是什么时候开始这段纠葛的,重上述“加固”的业务中可看出,和移动互联网的高速发展存在着必然的联系。
据爱加密CEO郭训平向B2B圈表示,2013年初,创业型的安全公司开始尝试将加密技术应用到保护APP场景中来。到了2014年相关产品逐渐成熟,并在市场上渐渐推广开来,最初是从手机银行开始,主要用于保护资金交易、用户密码信息等数据。在2015年,金融行业客户成为APP加固的重要客户,从银行、证券公司到保险公司都开始产生移动APP安全防护需求。终于在2016年,移动应用安全防护市场迎来了高速增长,政府相关部门、大型企业都开始重视APP的安全。
爱加密就是在2013年初进入了移动APP安全市场,可谓是这个市场的见证者与建设者了。
不只是一个“马甲”而已
“APP加固本身并不难,其本质就是让加密过的源码,不论通过什么技术方式处理,都可以在安卓系统中运行,重点在于不能让用户受影响。”爱加密CEO郭训平对B2B圈表示。
据B2B圈记者傻鱼了解,APP加固有利有弊,有利的一面是
1.保护自己核心代码算法,提高破解/盗版/二次打包的难度
2.缓解代码注入/动态调试/内存注入攻击
而弊端是:
1.影响兼容性
2.影响程序运行效率.
3.部分流氓、病毒也会使用加壳技术来保护自己
4.部分应用市场会拒绝加壳后的应用上架
加密也就意味着牺牲一部分权益,那该如何避免呢?
所以爱加密CEO郭训平向B2B圈表示:加密是为客户减少麻烦,保障客户利益的,加密就意味着不降低使用体验,不牺牲安全效果的前提下,保证APP加密后的适配性、兼容性、可用性。
“APP加密的底层构架密切相关。”爱加密CEO郭训平向B2B圈表示,并以爱加密为例具体解释爱加密是如何运作的。当安卓对APP解密后,有四类重要的文件待运行,一是运行源码文件,二是.so文件;三是资源文件.RES文件,四是数据文件包括存在本地的及运行中的临时文件,这四类文件的运营逻辑、调取比重各有不同,需要做大量的测试工作才能找到最优性能配置。
除此之外,爱加密CEO郭训平还向B2B圈表示,爱加密还提供APP整个周期的安全服务。比如围绕着APP整个生命周期,从安全这个维度来讲,分事前、事中和事后,就是在APP上线之前帮助用户发现问题、发现漏洞、发现风险、发现不足的地方,提前去整改。
在拐点处的“领航者”
移动互联网经历了5年快速发展,已逐渐放缓,基于此的移动安全市场也初现瓶颈。2014年,娜迦科技、通付盾、360加固宝、阿里云加固等一系列APP加固厂商的出现,激烈竞争已使得市场增长到S曲线的中段,高速增长的动力依然放缓,仅靠APP加固业务已然不够,必须转型。
移动安全市场的增长减缓,爱加密开始瞄准大数据安全和物联网安全。
据爱加密CEO郭训平对B2B圈表示:
第一,大数据安全这块我们经过几年的积累,在今年开始我们也有大的对市场的推动,我们自己会重点推大数据的安全。另外一个就是互联网的安全,虽然现在还没有完全爆发,移动安全可以看作物联网安全的一个特例,因此利用做手机安全的经验,也可以应用到车载智能终端、摄像头、无人机、家庭机器人,甚至工业控制系统。物联网和大数据的安全是我们目前看得见的延伸和投入的两个领域。
受2016年由物联网设备引发的多起超大规模DDos事件和智能汽车快速发展的影响,2016年可以看做物联网的开端之年。2017年,该市场将持续发展,预计两年后开始爆发。
究竟在这一次的市场转型中,能否抓住机遇,爱加密能否再次成为新型市场的建设者和开创者。
爱加密CEO郭训平向B2B圈表示,爱加密正在开发移动应用安全态势感知类的解决方案进行漏洞预警,攻击预警,让研发人员和产品人员了解风险状况、发展趋势、黑客偏好及目的、动机,真正有效地解决用户的安全需求。而这套方案正是基于爱加密这几年做安全的发展过程中所积累的数据。