立即咨询

电话咨询

微信咨询

立即试用
商务合作
免费试用

网易易盾移动应用加固

网易易盾移动应用加固,提供对DEX的多种保护模式结合VMP虚拟机,对关键代码、核心逻辑进行加密保护,避免通过IDA、JEB、JADX、APKTool、Readelf等逆向工具分析获取源码。结合App运行环境的安全检测,有效检测应用易被破解的薄弱环节,并通过后台智能数据分析进行策略管控。
立即咨询
数字化产品应用安全网易易盾移动应用加固
iconAPP仍是黑灰产攻击的重点突破口icon
APP作为业务重要承载体,仍是攻击者重点攻击目标
互联网黑产规模庞大,对厂商、业务造成不可估量的损失:网络犯罪已成产业化发展,黑灰产从业者人数超过百万。每年造成的直接经济损失达千亿,间接社会成本增加近5千亿。30%以上线上移动APP存在漏洞或安全防护等级较低:截止2021年12月份,从正规渠道在线上进行分发的移动APP基本都完成了基础加固(这其中也有国家监管、分发平台的要求),APP线上“裸奔”的情况越来越少。尽管如此,通过易盾抽样调查结果,线上移动APP仍存在超过30%存在漏洞,因安全漏洞或者防护等级不足而导致的安全事件层出不穷。移动应用仍是攻击者的突破口:绝大部分的互联网厂商的业务通过移动APP承载与执行。大部分安全事件发生在APP客户端,攻击者通过对APP的破解,作为跳板进一步获取业务、用户信息,甚至修改业务逻辑以汲取更多的利益。
icon移动应用威胁来源icon
应用破解
通过破解应用,对业务代码进行逆向分析,进一步对应用代码进行修改,完成恶意代码或木马植入、窃取核心算法或业务逻辑、添加广告SDK、界面劫持钓鱼等非法操作。
通信劫持
通过调试、破解应用,获取数据链路信息,从而进行业务流量劫持、获取密钥与算法等信息,进一步进行身份伪造、数据篡改与爬取、中间人攻击等。
服务端攻击
通过调试、破解应用获取服务端接口信息,从而寻找业务服务端突破口,利用的手段包括接口恶意调用(DDOS攻击)、非法刷单、批量注册、脱机挂等。
icon通过对原生APP的分析,黑灰产能够做很多事情icon
打包党
通过对原生APP进行破解、再加工的方式,实现引导用户点击广告、下载、安装APP或其他商业目的。
羊毛党
通过钓鱼APP或直接数据劫持的方式,获取、篡改用户信息,包括账号密码、交易数据甚至银行卡信息等,进一步伪造数据薅羊毛。
山寨党
破解、分析原生APP后,山寨类似甚至相同的APP,对原生APP用户进行分流,从而获利。
icon国家要求行业APP具备基本的防护能力,否则不符合上线要求icon

国家监管,国家、行业基于用户权益考虑,要求APP厂商均需要进行基本的安全防护才可上线

icon安全贯穿APP全生命周期icon

应用安全生命周期,安全,从APP设计就需要关注,上线更需防护

设计开发
安全开发规范
应用安全架构
安全组件
应用测试
环境测试 调试、注入测试
深度渗透测试
上线发布
敏感数据清理
日志清理
应用加固
线上运营
盗版监控
防刷
icon应用加固是上线运行的最大的保障icon

加固主要目的是为APP套上一件“防弹衣”,使之运营过程中抵御各层次的攻击,APP运营过程中,可被调试分析的点有很多,包括源代码的Dump、数据传输过程中的劫持、运营过程中通过调试器等工具进行的监控与信息截取等,加固能够给予每个可攻击点设置相应的防护措施,阻止攻击者在这些环节上的攻击。APP不同维度的风险,加固应该囊括所有维度。

数据传输
数据传输过程中的数据包通常包含重要的账号、密码等信息,被劫持分析后会造成信息泄漏
资源
APP重要UI、图片等设计资源,容易造成知识产权侵害
业务代码
APP主要逻辑代码,被攻破分析后攻击者可以轻易修改代码逻辑
数据
APP重要数据信息,被攻破后会造成重要数据泄露
icon全流程加固保护 全流程加固保护icon
第一代 代码混淆
C/C++/ObjectiveC等源码混淆,源码层防逆向分析,代码完整性保护,函数放劫持 中间码混淆
第二代 文件加壳
Android DEX文件级加密
数据资源文件加密
防二次打包
安全技术逐步覆盖每个维度
第三代方法动态保护
类和方法抽取加密
动态加解密方法代码
第四代 Java2C
java代码转成C代码
环境检查
第五代 虚拟机VMP保护
java代码转成自定义字节码 自定义虚拟机执行
iconAndroid,核心技术多样化icon

防二次打包、防Hook、环境监控、签名校验等

DEX防逆向
整体加壳、指令抽取与加密、虚拟化(VMP)、Java2C
数据保护
数据库文件加密、动态加解密、SSL证书加密
防调试
常用安全软件特征库、运行调试行为监控
So文件保护
自定义ELF结构、分段加密、自定义加载机制
防篡改
文件指纹、文件加密、指纹校验。覆盖dex文件、so库文件、js脚本文件
资源文件保护
Assets、assetbundle、res、raw、u3d脚本、u3d资源、配置文件(如AndroidManifest.xml)
iconAndroid,核心技术:DEX保护icon
iconAndroid,核心技术:其他icon

So文件保护、完整性校验、防篡改、防调试、资源保护、环境检测等

iconAndroid,加固效果例举:VMPicon
iconAndroid,兼容性与性能icon

兼容所有主流机型,加固后基本不影响性能,体积增量:-5% ~ 5%,CPU占用:小于系统1%,内存占用:小于原占用2%,冷启动时间增量:小于原包1%。

iconiOS,核心技术三板斧 支持源码、IPA两种加固方式icon
代码逻辑混淆
控制流平坦化、虚假控制流、花指令、不透明谓词等
字符串加密
全量字符串加密
防篡改/逆向(F5)
签名校验(防二次打包)、二进制代码隐藏
符号混淆
类名、方法名、属性名等替换;可自定义文件、函数;抗Class-dump
防调试
GDB、LLDB、Xcode、cycript等工具调试;Swizzling、Inline等hook攻击
环境检测
越狱、代理、hook
iconiOS,核心技术:混淆icon
iconiOS,核心技术:其他icon

字符串加密、防调试、防逆向、防篡改、环境检测等

iconiOS,加固效果例举:代码加密隐藏icon
iconiOS,兼容性与性能icon

兼容所有主流机型,加固后基本不影响性能。体积增量:-5% ~ 5%,CPU占用:小于系统1%,内存占用:小于原占用2%,冷启动时间增量:小于原包1%。

iconiOS,核心技术:混淆icon
icon应用场景icon
安全防护
抵御黑灰产攻击,保护应用核心代码与资源,保障应用业务正常运行、业务数据不泄漏
安全测评
加固后应用符合测评中心、安全等保等过检要求,确保线上应用不因安全问题被下架
应用市场上架安全审核
绝大多数应用市场渠道对上线应用由基本的安全防护要求,通过加固提供安全能力,确保上架过程不因安全问题导致上架应用市场失败
icon易盾加固方案优势icon
稳定、全面
基于易盾自研动态加载、动态加解密、虚拟机等技术形成的安全加固方案,覆盖代码、数据、资源等不同维度,线上保障不同行业总计1000+应用安全运行,安全与性能间创造最佳的平衡点。
安全强度、使用方式
自定义动态加解密机制 自研虚拟机 丰富的特征库 多种检测方案并行 可选自由组合不同加固内容
兼容、性能
支持平台包括:Android、iOS、h5、sdk、鸿蒙,覆盖Android 4.0以上版本、iOS xcode 10到最新版本,兼容手机市场所有品牌机型,加固后业务几乎无影响。
icon部署方式icon
云平台
单独的云计算、云存储、云防护、云备份,部署方便,实施周期短,快速上线,不需要采购额外的硬件资源及安排专门的运维人力资源,快速产品升级和版本升级,快速加固策略更新。
私有化
易盾提供硬件资源,工程师上门部署并培训。不定期更新升级加固策略版本,应对新形势下的攻击手段。加固数据存储在企业内部,方便进行数据的二次利用,为安全内审提供数据支撑。
icon交管12123:严格限制运行环境(同时接入线上监控)icon
用户量:约4.3亿 登陆绕过人脸识别 线上答题代操作
环境检测
过人脸识别一般情况下同时需要配置好作弊环境,通过识别风险环境(如root、模拟器等),及时感知并阻止应用运行。
防劫持
通过劫持人脸数据,伪造绕过人脸识别,实现线上答题代操作,刷记分。通过防劫持监控,识别劫持行为,并阻止应用运行。
每日抵御:153w+的攻击
icon探探:保护核心代码、资源资产icon
用户量:约4亿 破解分析、盗版 资源文件盗用
Java2C
利用Java2C方案对核心代码资产进行加密保护,减少被dump的可能,就算被获取也无法分析破解。
资源校验
通过对资源文件的特征校验,防止资源被篡改。同时对文件进行加密处理,及时被破解获取仍无法解密使用。
icon春秋航空:劫持与恶意代码注入icon
劫持应用,欺诈购票用户,机票倒卖,注入恶意代码获取用户信息、插入非法广告。
防Hook框架+防注入
监控应用进程,发现hook行为、注入行为时及时阻断应用运行,使攻击行为中断。
防界面劫持
代码、文件完整性校验,防止篡改。监控应用进程,发现恶意app劫持关键页面时,阻止应用运行,阻断攻击行为。
机票欺诈/倒卖相关投诉:减少30%

产品推荐

威努特超融合系统
威努特超融合系统,简化架构,标准X86服务器和交换机构建,分布式架构,多副本特性,数据持续高可用。按需采购,线性扩展,保护现有投资,按需横向扩展,计算、存储资源性能/容量同步按需增长。降低总体应用成本,缩短60%落地时间。
免费试用
查看详情
黑湖智造云端制造协同平台
腾讯云-黑湖智造云端制造协同平台,一款革新性的制造协同平台,云端部署并运行在手机、平板、电脑端,覆盖采购、排程、生产、物料、质检、设备等核心制造流程,帮助工厂低成本、高效率地实现从客户下单、原料入厂到成品出厂之间的全链路数字化管理。
免费试用
查看详情
千瓦科技智慧仓储解决方案
千瓦科技智慧仓储解决方案基于万物互联数字底座接入仓库全局数据,包括能源、库存、 位置、环境、安防等信息。基于大数据实时进行库存、安全、管理预警。基于RFID射频标签、UWB超宽带、BlueTooth蓝牙等技术实 现货物三维精准定位,找货不再困难、盘点精准轻松。
免费试用
查看详情
售后宝智能客户服务管理平台
售后宝智能客户服务管理平台,便捷服务体验,服务响应翻一倍,进度实时可视,杜绝信息不对称。加快执行效率,持续提升客户满意,服务全程监控,驱动服务质量升级。加强质量管控,打造优质品牌口碑。
免费试用
查看详情