近日苹果APP安全事件一时成为热点,苹果也已经证实大量应用程序被恶意代码感染,多款知名社交、地图、出行APP的iPhone版均被爆出有“恶意代 码”,腾讯发布报告称受影响用户可能超过1亿。记者多方采访了解到,本次事件“源头”叫Xcode,受恶意代码影响,由这款工具开发的iOS版APP以及 MacOS的程序都会被影响,都存在泄露个人隐私的危险。
除了长期标榜自身安全性却陷入安全危机的苹果,还有长期处于尴尬境地的安卓平 台,面对安卓操作系统大家应该知道,Android是一种基于Linux的自由及开放源代码的操作系统,主要应用于手持设备。主要使用于移动设备,如智能 手机和平板电脑,据统计全球移动平台的安全问题80%来源于安卓平台。根据腾讯发布的《2015年上半年手机安全报告》显示,2015年上半年 Android手机病毒包新增596.7万个,相对去年同期,同比增长1741%。安卓手机早已经成为病毒软件攻击的重灾区。
网络安全公司Zimperium研究人员2015年07月27日警告,全球应用最广泛的移动设备操作系统之一安卓(Android)存在“致命”安全漏洞,黑客只需简单发送一封彩信便能在用户毫不知情的情况下完全控制手机。
针对Androidapk安全现状分析
Android系统由于其开源的属性,市场上针对开源代码定制的ROM参差不齐,在系统层面的安全防范和易损性都不一样,Android应用市场对 app的审核相对iOS来说也比较宽泛,为很多漏洞提供了可乘之机。市场上一些主流的app虽然多少都做了一些安全防范,但由于大部分app不涉及资金安 全,所以对安全的重视程度不够;而且由于安全是门系统学科,大部分app层的开发人员缺乏安全技术的积累,措施相对有限。据小编了解:反编译 Android apk 现象的发生主要原因,在于开发商投入市场的Android apk包未经任何加固保护。
比如去年央视曝光的一 款名为“银行悍匪”的手机银行木马,模仿真正的手机银行软件,通过钓鱼方式获取用户输入的手机号、身份证号、 银行账号、密码等信息,并把这些信息上传到黑客指定服务器。盗取银行账号密码后,立即将用户账户里的资金转走。手机木马有的独立存在,有的则伪装成图片文 件的方式附在正版app上,隐蔽性极强,部分病毒还会出现变种,并且一代比一代更强大。
关键信息泄露,虽然java代码一般要做混淆,但是Android的几大组件的创建方式是依赖注入的方式,因此不能被混淆,而且目前常用的一些反编译工 具比如apktool等能够毫不费劲的还原java里的明文信息,native里的库信息也可以通过objdump或IDA获取。因此一旦java或 native代码里存在明文敏感信息,基本上就是毫无安全而言的。
apk 重打包,即反编译后重新加入恶意的代码逻辑,从新打包一个apk文件。重打包的目的一般都是上面提到和病毒结合,对正版apk进行解包,插入恶意病毒后重新打包并发布,因此伪装性很强。截住apk重打包就一定程度上防止了病毒的传播。
使用第三方安全服务对APP进行安全加固
爱加密移动应用安全加固平台(www.ijiami.cn)是一家针对移动应用提供一站式安全加密保护服务平台。面对手游行业的反编译现象,爱加密为开 发者独家提供so文件专属定制加密;通过对资源文件的保护防窃取、防资源文件篡改;提供多种不同的加密方式满足不同用户、不同场景的使用需求。
通过apk加固防止反编译,对dex源文件进行加固保护,隐藏源代码;对资源文件,主配置文件进行指纹校验保护,来防止二次打包,从根本上杜绝反编译和 盗版。另外针对有不同需求的开发者爱加密提供定制服务,包括通讯协议保护、高级内存保护等,全方位保护apk安全。具体操作移动应用开发者只需上传一个应 用apk包,就可获得全方位的app加固保护方案。其他所有操作均由系统和爱加密工作人员完成,对DEX文件、资源文件、主配文件、SO库文件加固,做好 二次打包防护,把静态破解和动态破解拒之门外,加密后可有效防止应用被反编译,嵌入病毒、恶意扣费SDK、广告SDK等,防止被非法汉化,可将安卓漏洞风 险降低。从而做到安卓apk安全加固的目的。
针对iOS平台的安全风险,爱加密也提供了解决方案,如爱加密提供了针对Xcode进行检 测的工具。在安装新的Xcode之前对dmg文件进行md5验证,确保跟官方AppStore上的一致。对于已经安装部署好的Xcode开发环境,对关键 文件夹进行对比检测,列出与官方发布版本不一致的文件,进行风险的提前规避。