移动应用安全的四大常见问题及解决方案

    移动应用安全的状况可以归结为四个主要方向：网络安全，数据安全，代码安全，设备安全。

    1、网络安全
    网络安全分为四个部分：数据防泄漏，请求防重放，具有防篡改性和身份防伪装。
    解决数据泄漏预防的关键是数据必须加密，请求防重放则可以同时通过网络请求时在参数中携带大量时间戳、随机数、流水号、“时间戳+流水号”这四种不同方式解决措施来予以进行防护。
    内容防篡改企业需要通过我们对内容进行加盐哈希，再在服务端校验哈希值，身份防伪有两种解决方案。方案一是Token身份认证：给Token一个有效期，防止Token泄露之后，攻击者其可以长期非法调用。
    方案二是数字签名：通信过程中发送方对通信内容进行Hash生成摘要,然后用自己的私钥进行加密生成数字签名一起发送给接收方，接收方接收到后用自己的公钥进行解密来验证发送方的真实性，通过比对自己发送方的摘要信息与自己计算得出的摘要信息来验证内容是否被篡改。
    2、数据安全
    针对存储的安全管理防护，我们在数据技术落地的时候一定要进行加密处理，防止他人拿到一个重要的敏感数据，其次，我们要创建私有类型数据，尽量用private的创建方式，而不是全局的创建方式。
    3、代码安全
    常见逆向工程套路主要分为三种：反编译、脱壳、动态分析， 以下防止代码反编译的方法：代码混淆，签名验证，使用反编译工具漏洞保护，加固，防动态分析则可以从反调试、反Xposed、反root三个维度进行入手。
    4、设备安全
    开发人员可以检查设备所在的环境，以确定设备是否处于异常状态， 如果设备处于异常状态，则可能处于黑色生产工具的控制之下。 常见的黑色产品包括“移动卡商和接码平台”，改机工具，打码平台和群控系统。
    黑产的攻击场景
    黑产的攻击场景主要有以下四种：渠道市场推广、登录用户注册、营销管理活动、社区社会互动。在渠道推广环节，APP开发者可能会遇到自动化批量刷量的黑产设备，它们会伪造虚假激活，让APP推广的钱白白浪费。
    当你登录注册，黑色的制作方会打我们的数据库攻击，并提供了大量的垃圾帐户的注册。到了营销活动环节，攻击者可以针对APP优惠活动，提供大量的账号薅羊毛，现场刷榜在社区互动，发送垃圾邮件的攻击是炭黑生产的一种常见形式。
    防范黑产的措施
    我们首先可以对手机上的设备管理信息进行全方面的检查，检查维度包括设备信息有无被篡改、手机上root环境是否处于root环境、有无安装一个Xposed的框架、系统是否被修改过、是否处于虚拟机的环境、部分地理位置异常是是否频繁。
    检查后对这些风控数据信息予以及时记录，并把我们这些数据提交给风控引擎可以进行多维度的分析，比如可以对它进行IP风险管理评分、IP画像技术以及通过判断手机号是否在黑名单。我们的用户模型来识别高风险的多维度，风险水平并告知客户，以进行一些保护。
    防范黑产的案例
    以渠道进行质量管理评估为例，渠道刷量分为两个机器刷量和人工刷量， 机器刷的特点是使用带有机床的群控系统，全自动下载激活，其自动化程度相对较高，但我们可以通过识别设备信息，分析机器操作和人工操作的差异特性来识别机器刷量的情况。
    和人工刷量一般通过众包平台，IM群等方式发送任务，其特点是人员分散、设备真实，但技术能力偏弱。 设备将在手动刷量下会频繁卸载和安装，应用的活动程度与以前不一样，处于异常状态。我们可以结合这些功能的画像和用户识别这种类型的人工刷量行为。
    个验
    为了帮助开发人员识别移动安全智能，推的安全隐患，领域也推出了相应的解决方案 - “个验”是个推面向开发者推出的“一键认证”SDK，可以帮助APP开发者实现用户一键免密登录，简化APP登录流程，有效减少用户流失并提升转化。
    作为我们新一代的验证解决问题方案，个推一键认证的功能特性更体现在能为APP开发者可以提供财务风险管理识别和风险防护的系列方案。
    在风险识别方面，个验可以通过设备、网络、行为等多维度识别设备风险，准确识别出财务风险后，企业可提前对其加以防范，有效方法降低公司运营管理风险，在风险进行防护技术方面，个验在不影响正常用户信息使用的情况下，可以同时通过动画验证码阻止恶意自动化控制程序的进一步操作。
    结语
    如今，黑产攻击造成的资产或声誉损失的现场层出不穷，设备风险控制任重道远，个推将不断挖掘其丰富的数据资产，不断打磨自身技术，帮助APP开发者有效识别风险设备，确保业务安全。
 

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！