强者自强，通付盾App安全合规检测设备

上期通付盾云大讲堂（数据安全新时代下的App安全防护）带大家了解了移动应用安全的新时代背景，认识了应用常见的破解形式，介绍了移动应用安全相关的知识和产品，为大家讲述了App安全的发展过程，同时帮助企业认识和选择加固产品，以及我们国家对App加固功能不同等级的区分。为大家详细说明了移动应用检测加固的必要性。

大讲堂中提及的移动安全产品——App安全合规检测设备通过了国家网络与信息安全产品质量检验中心的验证，强者自强，能够确保企业App全生命周期的安全。

移动应用安全已进入数据安全新时代

国际方面，最严的数据保护法GDPR欧盟通用数据保护条例于2018年5月25日生效。GDPR对于违规行为的处罚是非常严厉的，就任何导致数据泄露的不合规行为，都会遭到重罚，罚金也最高可达到总营业的4%。2020年1月1日，美国加州消费者隐私法CCPA生效,CCPA会影响到在美运营的近50万家企业。新的消费者数据访问权也对许多机构提出了运营挑战。

国内方面，对于隐私安全的相关条款也在逐步推出，从2019年3月开始，发布了《App自评估指南》。同年5月又提出了等保2.0和App违法违规收集使用个人信息行为认定方法，同年10月又发布《移动互联网应用程序（App）收集个人信息基本规范草案》

其中最广为人知的是“等保2.0”和2021年3月四部门联合印发的《常见类型应用程序必要个人信息范围规定》。而在9月1日《数据安全法》经历三次审议和修改，也已正式施行。随着国内外监管机构对个人信息安全的监管日渐加强，未来几年内，隐私合规将成为整个产业都关注的焦点。

不论是小型开发团队，还是大型企业开发者，都会面临着移动威胁。不少企业人员在公司网络下，下载了威胁组织网络和数据的恶意移动应用。移动恶意软件总体是呈上升趋势的,攻击者一直在传播恶意软件,包括移动远程访问木马 (MRAT)、银行木马等，危害巨大。

自2017年开始，每年的漏洞数量已经是持续增长的状态，2021年当年截止到6月，已经达到了8838个漏洞。由于疫情的影响，现在远程办公的方式大规模兴起，移动攻击面也急剧扩大，有97%的组织面临着来自多个攻击向量的移动威胁。根据预测，到2024年，将有60%的员工转向移动办公方式，保障移动安全成为了所有企业的当务之急。

目前市面上常见的软件破解类型有两种，一种是破解版应用，另一种是盗版应用。

常见破解的主要来源：

1. 各大逆向技术论坛

2. 某宝商家有偿破解

3. 逆向技术研究人员

4. GitHub开源工具

5. 去广团队引流

6. 黑灰产获取收益

7. 竞争企业源码复刻

常见的破解形式：

1. 发布非官方签名的安装包

2. 真支付变成假支付

3. 可能被识别为风险应用

对开发者的不良影响：

1. 直接的经济损失

2. 直接的用户流失

3. 间接损害企业的名誉

4. 可能的业务流失

5. 安全合规问题

6. 潜在的法律风险

移动应用加固技术发展历程

Apk文件当中最主要的就是classes.dex文件，它包含了应用所有业务逻辑，必须要对该文件进行保护。从第一代的动态加载，第二代的内存不落地加载,第三代的指令抽取，指令转换，这三代都是对DEX本身做一些特殊处理，还并没有涉及到更高强度的保护。而第四代的DEX虚拟机则完成了这一要求，将DEX的代码抽取到C层执行，对于应用本身来说这些代码是完全不可见的。

未来加固技术发展就是更加完整的虚拟机保护方案，将所有的代码文件进行虚拟机处理，也就是DEX代码和SO代码都会被加固当中的虚拟机自解释执行。

攻击技术与防御技术不断对抗升级，这种对抗状况会一直持续下去

App安全合规检测设备中装配的移动安全检测与加固平台软件（增强级）已获计算机信息系统安全专业产品销售许可证。

获证过程中使用的《应用程序安全加固产品测评准则》是由公安部发布的关于应用加固产品划分准则。其中说明了市面上发行的应用是有诸多风险的，将加固分为了基本级和增强级。准则中强调了增强级加固产品，并从不同的角度展示了普通加固和增强加固的区别。在选择合适的加固方式时建议参考该准则。而通付盾加固产品则包含了增强级加固的所有功能，有以下几个优势：

安全防破解

基于多项专利技术，完美对抗逆向工程、二次打包、恶意破解等恶意行为。全系加固服务无需提供源码。

设备全兼容

配各种机型/系统，率先兼容Android /iOS最新版本，加固后的兼容性损耗几乎为0。

性能损耗小

不影响程序运行效率，将App启动/运行时间增量严格控制在1秒以内。

加固增量少

采用自研代码压缩算法，加固后App的大小增量严格控制在1MB以内。

IPA动态壳

首创的IPA动态壳加固，无需提供应用的源代码，可以有效避免源码泄露问题。

关注“通付盾”公众号，发送“加固”／＂检测＂

免费领取一次（增强级）App加固、检测产品服务

直播回看

关注通付盾订阅号，往期课程随时观看

来源：通付盾