移动安全大讲堂第二讲：整体解决方案之APP安全评估

昨天给大家讲了现如今网络安全的重要性，那么，面对这样大面积的网络漏洞，我们应当如何解决呢？

智能手机现在是越来越普及了，新出的iPhone X竟然可以刷脸解锁！越来越人性化的智能手机在未来可以完成越来越多的事情，而这些事情想要成功的保障就离不开安全。手机APP应用的安全性是保护用户隐私最重要的大门，那么如何帮助不同系统，不同应用APP提高它们的安全性，这就是几维安全的功能所在！

几维安全移动应用整体解决方案从一下三个方面为用户解决安全困扰。

APP安全评估

对移动应用可能出现的风险以及国家颁布的移动应用相关检测机制自定的一套移动应用自动检测系统，该系统能够准备检测出移动应用中所包含的风险点，以及修复建议，用户根据修复建议完善移动应用安全二次建设。

Android安全加固

dex文件函数抽离+虚拟化高强度保护

so文件关键字符串加密

so文件高级混淆

ir指令集虚拟化

内存数据防查看修改

高级内存保护（防注入，调试，dump）

ios安全加固

关键字符串加密

源码高级混淆

自定义混淆函数以及混淆强度

bitcode模式加密

IR指令集虚拟化

为什么APP安全评估要放在首位？

几维安全APP安全评估

在你打败你的敌人之前，你需要了解你的敌人。知己知彼，才能百战不殆。

评估标准

《YD/T 2694-2014 移动互联网联网应用安全防护要求》

《YD/T 2695-2014 移动互联网联网应用安全防护检测要求》

《JR/T 0098.3-2012中国金融移动支付 检测规范 第3部分：客户端软件》

《YD/T 2848.2-2015 移动互联网恶意程序检测方法 第2部分：终端侧》

《信息技术 安全技术 信息安全管理体系 要求》（GB/T22080-2008）

《YD/T 1438-2006 数字移动台应用层软件功能要求和测试方法》

《YD/T 2307-2011 数字移动通信终端通用功能技术要求和测试方法》

静态评估

1、使用apktool来反编译apk

2、得到程序的smail源码和AndroidManifest.xml文件

3、直接解压apk文件得到classes.dex文件，然后用dex2jar工具得到jar,用jd-gui工具查看。

4、如果程序中有涉及到native层的话，我们可以用IDA打开指定的so文件。通过java代码，找到指定的so文件，在用IDA来静态分析so文件。

动态评估

使用沙箱机制，使用虚拟机，安装启动应用程序，利用随机monkey获取应用功能信息，同时启动拟定的自动调试、攻击工具，进行自动分析，并记录其信息并最终通过报告显示出来。

人工评估

通过专业评估人员，对应用进行动态分析，包括接口分析，秘钥安全分析，进程注入、进程调试等动态调试。

APP安全评估页面展示

每一项我们会给出扣分分数以及扣分原因，让你能直观的看出你的APP哪里存在问题，问题的重点又在哪里。

APP安全评估内容

代码检测

Java代码

C、C++代码

db数据文件

xml数据文件

C#代码

Lua代码

防御检测

java调试检测

SO调试检测

进程注入检测

签名校验检测

系统加速检测

内存安全检测

盗版检测

解压检测

签名信息

盗版检测

漏洞扫描

WebView RCE漏洞

HackerBase64字符串加密

Implicit_Intent隐式服务

SSL_Security SSL连接

权限检测

恶意权限

流氓权限

位置权限

当你通过详细的安全分析，才能发现你的APP具体是那个方面有所不足，从而进行相对应的解决处理。而几维安全，将这一切都向你展现了出来。那么关于具体的安全加密我们会以什么样的方式进行处理呢？如果是你，你会从哪几个方面来进行APP加密呢？欢迎大家联系客服，与几维一起讨论加密的故事~