Android平台阿裡雲安全解決方案總結

Android平台阿裡雲安全解決方案總結

阿裡聚安全目前提供了安全掃描、安全元件、應用加強、安全審計、安全測試工具五種方案。

一、安全掃描

将APP送出到阿裡伺服器上，然後由阿裡伺服器進行安全掃描發現惡意代碼、漏洞、仿冒應用等。結合靜态污點分析技術和動态模糊測試技術，幫助開發者快速定位APP中潛在的安全漏洞和風險；Knight殺毒引擎，采用多種機器學習算法識别惡意應用，自動提取特征碼，讓惡意代碼識别更智能更準确；監控300多個應用市場，通過應用圖示與代碼相似算法識别其中的仿冒應用，讓仿冒應用無處遁形。

二、安全元件

在APP中接入安全元件sdk，在存儲和傳輸敏感資訊時，調用安全元件SDK中的代碼，進行加密，使用時解密。防止應用被黑客或木馬攻擊、用戶端機密資訊洩漏、用戶端請求僞造。安全元件涵蓋Android和iOS平台；安全沙箱、白盒加密、底層加強，共同保證用戶端資料安全；應用層、運作層、native層，多層次全方位立體防護；實時更新用戶端子產品，保證攻防對抗強度。

三、應用加強

将APP送出到阿裡伺服器上，阿裡拿到APP後，在APP中嵌入部分防止反編譯的代碼，然後對代碼進行混淆打包。可以提升安全等級，防止應用被逆向破解。防止通過apktool、dex2jar、jeb等靜态工具來檢視應用的java層代碼；防止通過ida、readelf等工具對so裡面的邏輯進行分析，保護native代碼；防止對java層代碼的記憶體dump、保護java層代碼；通過修改java層業務邏輯的調用關系鍊, 保護業務邏輯；通過對java層代碼的指令的二次翻譯,保護某些核心函數的關鍵邏輯。

嵌入的的防止反編譯的代碼基本原理是：APP在反編譯（破解）時，嵌入的防止反編譯代碼将反編譯工具失靈，無法進行後續的反編譯過程。

四、安全審計

需要向安全審計提供設計評審、滲透測試、應急響應等服務。對系統、協定、架構、資料使用等多個方面進行安全評估，避免線上問題；模拟黑客對上線後的應用進行安全測試，并全面審計應用的風險；安全事件應急處理，及時分析定位出現的安全問題，及時給出止血方案及長期有效的解決方案；基于網際網路靈活開發模式，提供安全編碼規範、ASDL标準流程及規範、應用安全開發架構，有效防止真實的安全風險。

五、安全測試工具

目前隻有iOS平台的，而且尚未開放，暫時無法拿到安全測試工具使用。

六、總結

第一、三、四種方案都需要送出APP；第二種方案，對我們而言安全元件就是一個黑盒子，通過調用阿裡的安全元件sdk的代碼，将需要儲存到本地的敏感資訊處理之後，獲得處理後的資訊儲存到本地；第三種方案，可以自己嵌入防止反編譯代碼，對代碼進行混淆處理，當然混淆處理的混效率未必有第三方的混效率高。

上述所有方案都不能從根本上解決APP安全問題，隻能增加APP被破解的時間成本。

參考文獻

http://jaq.alibaba.com/