App作为业务重要承载体,仍是攻击者重点攻击目标。互联网黑产规模庞大,对厂商、业务造成不可估量的损失网络犯罪已成产业化发展。黑灰产从业者人数超过百万,每年造成的直接经济损失达千亿,间接社会成本增加近5千亿。
30%以上移动App存在漏洞或安全防护等级较低。不少2023年度报告显示,从正规渠道在线上进行分发的移动App基本都完成了基础加固(这其中也有国家监管、分发平台的要求),App线上“裸奔”的情况越来越少。尽管如此,通过网易易盾抽样调查结果,线上移动App仍存在超过30%存在漏洞,因安全漏洞或者防护等级不足而导致的安全事件层出不穷。
移动应用仍是攻击者的突破口。绝大部分的互联网厂商的业务通过移动App承载与执行。大部分安全事件发生在App客户端,攻击者通过对App的破解,作为跳板进一步获取业务、用户信息,甚至修改业务逻辑以汲取更多的利益。
因此保护好移动互联网用户的隐私信息是让黑灰产获取违法利益前缺少足够的变现物料,应用加固则是为保护用户和App开发者再加上了一道防护门。
(1)隐私检测丰富App三方SDK检测项,并增加对SDK官网和类型的记录。
在隐私检测过程中,我们新增了多种第三方SDK检测项。同时,还可以识别第三方SDK的官网和类型。
(2)隐私检测android平台支持检测是否存在热更新SDK,同时支持对热更新行为进行检测。
在隐私检测过程中,易盾应用安全将主动识别并记录热更新SDK。若识别到相关热更新SDK存在动态加载的情况,将给出提示“该App中xxx(SDK名称)存在动态加载的行为,检测过程中可能有部分行为无法触发到。”
SO加固是基于elf结构加密数据,根据linker加载流程插入解密流程进行解密。已有的高强度so加固,大部分基于自定义linker实现,而自定义逻辑越多,引入的代码和体积增量越多,可能出现的兼容性问题也越多,可以归纳为以下几种:
(1)定制化,不易移植或复用
如android的so加固,想要零成本移植其他平台,如linux,可能需要重编译壳,除非全部代码静态实现,不依赖任何库,编写难度较大。
(2)结构差异,随意删除或加密字段可能出现异常
不同系统对section的依赖和校验都有差异,需要转换或保留特有字段。
(3)加载流程差异
这部分有些和结构关联,有些是和系统定制有关,linker代码并不是完全一致,且系统库的加载规则可能存在差异,自定义实现需要考虑这些差异。
(4)解密时机
SO加密方案决定了,目标so必须先执行解密,才能正常调用内部函数,这个顺序没办法百分百保证。
加固新功能,强度大提升
易盾应用安全团队通过技术调研和开发测试,实现了多平台加固elf文件,不仅支持so动态库,还支持可执行文件的加固。同时,易盾加固通过引入依赖so,辅助加载和解密加固的so文件,实现多so加固场景下减少so占用体积。除此之外,易盾安全加固还实现了内存隐藏,提升了加固强度。
文章来源:网易易盾
https://mp.weixin.qq.com/s/wYyK3EPFeX4ifNmPjjRU4Q