移动平台客户端应用安全加固解决方案

字号:

  方案背景

  近年来随着各银行手机银行业务的不断发展,极大的方便了广大银行客户金融业务的办理,手机银行作为银行重要的金融服务渠道之一,不仅可与PC网上银行、柜面渠道发挥同等作用,还能够提供更具价值的增值服务。但手机银行仍存在不利因素,其安全风险频发,广大用户对手机银行的安全性疑虑日益显现,严重制约了手机银行业务发展。

  2013年5月人民银行发布了《金融业信息安全风险提示》,文件充分阐述了手机银行所面临的风险问题,并要求各商业银行加强自身手机银行业务系统的安全建设。2014年2月银监会联合中国软件测评中心对部分银行的手机银行客户端APP进行了安全性测评,测评过程中发现了若干高风险漏洞,利用这些漏洞能够实现对手机银行的攻击和篡改,这引起了人民银行、银监会以及被测行的高度重视。

  CFCA移动平台的客户端APP安全加固服务是通过对客户端APP程序文件进行安全加固处理,最大限度防范反编译、逆向分析、应用篡改等针对客户端本身的攻击行为,提升手机银行客户端APP安全防护级别。

  方案定位

  1、面向移动平台专项领域的安全加固服务

  为了更好的提高移动平台的安全性,我们充分发挥自身在该领域上的技术专长,为各移动平台客户端APP提供专业的移动安全保护产品,并形成了具有针对性的安全保护体系。阻止山寨盗版应用和恶意代码的泛滥,净化移动互联网的安全环境;

  2、面向不同层面的安全

  CFCA移动平台客户端加固服务目前的基础保护逻辑不仅仅是针对Dalvik虚拟机可解释执行的文件体,同时还涉及了本地二进制文件的加密保护(ELF = Executable and Linkable Format,可执行链接格式,是UNIX系统实验室作为应用程序二进制接口“Application Binary Interface-ABI”而开发和发布的,扩展名为elf。)针对这种文件格式的保护功能,可以扩展至具有同等硬件支持的移动设备。针对本地原生程序的保护是未来移动安全的趋势,因此这一层面的保护可以有效地防御多数的深层分析攻击;

  3、面向多种安全级别的需求

  在移动平台普及的过程中,Android APK的开发需求和开发者越来越多,应用软件的安全不仅仅是开发中的保护,还有对产品维护期与更新版本的保护,客户端加固服务不仅能对各类Android应用软件进行基本的安全开发保护,还能针对特定领域中需要高级别安全保护的产品进行保护。

  方案简介

  CFCA客户端APP加固服务采用动态调试与静态分析全面防护的思路,在程序运行的不同周期采取不同程度的加固措施;

  加固时可以针对静态的文件进行整体加密、代码抽取、伪加密等技术,从而加大非法分析者在获取程序的静态私密数据的难度;

  针对动态的执行过程进行哈希校验、反调试、运行时解密、代码回写等技术,切断通过调试器动态跟踪的过程,有效保护程序的私密逻辑不被泄露,同时也保证其执行逻辑不被恶意篡改。如下图所示:

移动平台客户端应用安全加固解决方案

  客户端加固服务结合多样、多形态的开发类型,从而设计了可以针对不同安全级别保护版本,能更全面,更有效的保护不同需求的Android应用软件。

  方案特点

  易操作:加固人员上传移动应用后,自动快速接受并处理加固保护并下发加固后程序;

  强化安全:动态静态双向保护,保护强度大;

  零风险:防止应用被非法加入病毒、计费SDK、广告SDK、恶意代码,防止非法篡改;

  零修改:开发者无需修改源程序,无需使用SDK;定制保护机制灵活;

  零影响:不改变移动应用原有的用户体验,不增加软件运行的负担。