第8章-移動(dòng)應(yīng)用軟件安全

1、8.1 移動(dòng)App安全8.2 移動(dòng)平臺(tái)安全機(jī)制和分析技術(shù)8.3 移動(dòng)App的安全檢測第8章 移動(dòng)應(yīng)用軟件安全8.4 移動(dòng)App的安全防護(hù)8.5 本章小結(jié)8.6 習(xí)題 8.1.1 移動(dòng)App安全風(fēng)險(xiǎn)分析 8.1.2 移動(dòng)App的安全對(duì)策8.1 移動(dòng)App安全8.1.1 移動(dòng)App安全風(fēng)險(xiǎn)分析 移動(dòng)App面臨的安全威脅已成為制約移動(dòng)App發(fā)展的主要因素，常見的安全威脅可以分為以下幾類。1.盜版仿冒：不法分子通過逆向工程等手段復(fù)制正版軟件，并使用與正版軟件相似的圖標(biāo)或名稱，以達(dá)到仿冒的目的。它們通過蹭熱點(diǎn)來傳播，引誘用戶下載安裝，不僅會(huì)造成用戶通信錄和短信內(nèi)容等個(gè)人隱私信息的泄露，還有惡意扣費(fèi)的隱患

2、。2.惡意軟件：由于大量的移動(dòng)App商店在應(yīng)用軟件的安全檢測、準(zhǔn)入審核等環(huán)節(jié)存在安全漏洞，不法分子通過對(duì)應(yīng)用軟件的逆向分析，可以發(fā)現(xiàn)App軟件中的核心算法或敏感信息，并獲知程序的運(yùn)行邏輯和流程等信息，從而繞過用戶應(yīng)用中心使用的認(rèn)證和加密手段，插入惡意代碼，一旦用戶下載安裝并使用這款A(yù)pp，可能就會(huì)遭受廣告彈窗、業(yè)務(wù)資料被非法訪問、隱私泄露、遠(yuǎn)程控制和誘騙欺詐等安全風(fēng)險(xiǎn)。8.1.1 安全風(fēng)險(xiǎn)分析 3. 權(quán)限濫用和隱私竊取通過聲明過多的應(yīng)用權(quán)限，移動(dòng)App可以對(duì)用戶本地文件、短信接口、藍(lán)牙設(shè)備等進(jìn)行操作，如發(fā)送短信、連接網(wǎng)絡(luò)，并在用戶不知情的狀態(tài)下竊取用戶的個(gè)人隱私，這些都會(huì)威脅到用戶的隱私和人身

3、財(cái)產(chǎn)安全。同時(shí)，移動(dòng)互聯(lián)網(wǎng)與云計(jì)算技術(shù)的結(jié)合，也通過移動(dòng)App引出了一系列新的安全問題：云存儲(chǔ)服務(wù)使得信息集中存儲(chǔ)，信息及隱私泄露問題更加嚴(yán)重；云應(yīng)用業(yè)務(wù)使得信息收集和分析的規(guī)模更加巨大；通過對(duì)收集到的用戶信息進(jìn)行大數(shù)據(jù)分析，不僅可能會(huì)導(dǎo)致用戶的信息和隱私泄露，甚至可能危及國家的安全利益。4. 操作系統(tǒng)安全操作系統(tǒng)安全是指由于移動(dòng)終端的操作系統(tǒng)存在漏洞而被惡意代碼利用所產(chǎn)生的安全問題。8.1.2 移動(dòng)App的安全對(duì)策 移動(dòng)App安全不僅涉及數(shù)據(jù)安全，還包括移動(dòng)終端的操作系統(tǒng)、硬件及接口的安全。為應(yīng)對(duì)移動(dòng)App的安全風(fēng)險(xiǎn)，需要做好以下幾個(gè)方面的工作。1. 移動(dòng)App的檢測審核機(jī)制移動(dòng)App商店應(yīng)

4、建立并完善對(duì)移動(dòng)App的檢測和審核機(jī)制，加強(qiáng)對(duì)應(yīng)用軟件的安全檢測，提高應(yīng)用軟件的安全準(zhǔn)入門檻。政府層面需要對(duì)移動(dòng)App市場進(jìn)行規(guī)范管理，并由移動(dòng)App商店承擔(dān)應(yīng)用軟件的審核和發(fā)布的安全責(zé)任。對(duì)于移動(dòng)App的檢測而言，檢測的內(nèi)容主要包括：惡意代碼檢測、內(nèi)容過濾和權(quán)限使用檢測。8.1.2 移動(dòng)App的安全對(duì)策 2. 移動(dòng)App的簽名認(rèn)證機(jī)制建立移動(dòng)App數(shù)字簽名認(rèn)證機(jī)制是實(shí)現(xiàn)軟件可追溯體系和移動(dòng)互聯(lián)網(wǎng)可信應(yīng)用環(huán)境的重要技術(shù)手段。目前，大多數(shù)第三方認(rèn)證技術(shù)采用PKI認(rèn)證體系來保證認(rèn)證過程的安全可靠。移動(dòng)終端的操作系統(tǒng)通過對(duì)安裝的應(yīng)用軟件進(jìn)行簽名情況驗(yàn)證，識(shí)別移動(dòng)App的開發(fā)者、軟件發(fā)布渠道以及軟件檢

5、測機(jī)構(gòu)等信息，為用戶下載、安裝可信的應(yīng)用軟件提供指引。而且，移動(dòng)App生命周期的各個(gè)環(huán)節(jié)都存在認(rèn)證需求。8.1.2 移動(dòng)App的安全對(duì)策 3. 構(gòu)建移動(dòng)App安全檢測的基礎(chǔ)設(shè)施構(gòu)建面向移動(dòng)App安全檢測的基礎(chǔ)設(shè)施，主要包括：移動(dòng)安全客戶端、惡意軟件研判系統(tǒng)和漏洞庫。在移動(dòng)終端安裝了安全客戶端之后，惡意軟件研判系統(tǒng)會(huì)采集客戶端的用戶投訴并獲取疑似樣本，然后通過對(duì)疑似樣本的自動(dòng)化分析，并與國家權(quán)威機(jī)構(gòu)合作完成惡意軟件的審核認(rèn)定工作。最終實(shí)現(xiàn)基于大數(shù)據(jù)的檢測分析、安全風(fēng)險(xiǎn)感知和主動(dòng)防御。4. 構(gòu)建移動(dòng)App架構(gòu)下的云服務(wù)安全體系構(gòu)建移動(dòng)App架構(gòu)下的云服務(wù)安全體系，就是從數(shù)據(jù)保護(hù)、用戶隱私、內(nèi)容安全

6、、運(yùn)行環(huán)境等方面入手，建立基于云端服務(wù)的安全體系。強(qiáng)化云端服務(wù)的安全管理，確保信息加密、信息隔離，防止信息濫用和隱私泄露；強(qiáng)化云端服務(wù)的安全防護(hù)、應(yīng)用入侵檢測、漏洞掃描等安全防護(hù)技術(shù)。 8.2.1 移動(dòng)平臺(tái)自身的安全機(jī)制 8.2.2 移動(dòng)平臺(tái)應(yīng)用軟件分析技術(shù)8.2 移動(dòng)平臺(tái)安全機(jī)制和分析技術(shù)移動(dòng)平臺(tái)不同于移動(dòng)開發(fā)平臺(tái)，也不同于移動(dòng)應(yīng)用平臺(tái)，它是涵蓋移動(dòng)App開發(fā)、管理、安全、整合等全生命周期的統(tǒng)一平臺(tái)。移動(dòng)平臺(tái)從技術(shù)的角度出發(fā)，需要通過對(duì)應(yīng)用環(huán)境的資源、威脅和脆弱性進(jìn)行分析，然后采取相應(yīng)的安全機(jī)制進(jìn)行安全保護(hù)。移動(dòng)平臺(tái)自身的安全機(jī)制通過以下內(nèi)容來保障。1. APN技術(shù)全稱為Anywhere P

7、rivate Network，是一種網(wǎng)絡(luò)接入技術(shù)，它決定了移動(dòng)平臺(tái)通過哪種接入方式來訪問網(wǎng)絡(luò)。在移動(dòng)安全接入平臺(tái)中，移動(dòng)終端被強(qiáng)制要求通過企業(yè)APN來訪問系統(tǒng)。終端用戶需要經(jīng)過申請(qǐng)和準(zhǔn)入審核才可接入網(wǎng)絡(luò)，從而使移動(dòng)終端對(duì)企業(yè)內(nèi)網(wǎng)的訪問是完全可控的。2. 設(shè)備綁定UDID是用于區(qū)分設(shè)備GUID的唯一編碼。由于操作系統(tǒng)廠商的限制，很難獲取設(shè)備的物理編碼(IMEI)。因此，移動(dòng)安全接入平臺(tái)根據(jù)一定的編碼規(guī)則及設(shè)備的物理特性為每一臺(tái)設(shè)備生成一個(gè)唯一的UDID碼，用于識(shí)別移動(dòng)終端。同時(shí)將該編碼與特定用戶進(jìn)行綁定。8.2.1 移動(dòng)平臺(tái)自身的安全機(jī)制移動(dòng)安全接入平臺(tái)支持對(duì)入網(wǎng)設(shè)備的手機(jī)號(hào)(MDN)和UDID

8、進(jìn)行綁定。針對(duì)首次入網(wǎng)的設(shè)備，系統(tǒng)會(huì)要求用戶對(duì)該設(shè)備進(jìn)行綁定。一旦設(shè)備綁定成功，該用戶的注冊(cè)賬號(hào)和該設(shè)備的UDID將綁定到一起，任一信息不符的用戶都將無法登錄平臺(tái)，這樣可以最大限度地保證設(shè)備不被挾持和濫用，降低資產(chǎn)脆弱性。3. 身份認(rèn)證用戶在登錄內(nèi)網(wǎng)應(yīng)用之前，需要進(jìn)行身份認(rèn)證。平臺(tái)的措施包括用戶密碼和動(dòng)態(tài)口令。4. 信息傳輸加密對(duì)于在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)，移動(dòng)安全接入平臺(tái)也提供了相應(yīng)的安全加密措施，包括客戶端與平臺(tái)之間的各種消息報(bào)文、交易信息和表單數(shù)據(jù)等。對(duì)于這些高敏感數(shù)據(jù)，移動(dòng)安全接入平臺(tái)提供了一種“非對(duì)稱加密+對(duì)稱加密”的符合網(wǎng)絡(luò)傳輸加密機(jī)制。8.2.1 移動(dòng)平臺(tái)自身的安全機(jī)制軟件分析通常是另

9、外一個(gè)更大的軟件生命周期活動(dòng)的一部分，也是實(shí)施這些過程的一個(gè)重要環(huán)節(jié)。（1）在開發(fā)階段，對(duì)正在開發(fā)的軟件進(jìn)行分析，以快速地開發(fā)出高質(zhì)量的軟件。（2）在維護(hù)階段，對(duì)已經(jīng)開發(fā)、部署、運(yùn)行的軟件進(jìn)行分析，以準(zhǔn)確地理解軟件，有效地維護(hù)軟件，從而使軟件能夠提供更好的服務(wù)。（3）在復(fù)用階段，對(duì)以前開發(fā)的軟件進(jìn)行分析，以復(fù)用其中有價(jià)值的成分。8.2.2 移動(dòng)平臺(tái)應(yīng)用軟件分析技術(shù)根據(jù)分析過程中“是否需要運(yùn)行軟件”，將軟件分析技術(shù)劃分為兩類：靜態(tài)分析技術(shù)和動(dòng)態(tài)分析技術(shù)。8.2.2 移動(dòng)平臺(tái)應(yīng)用軟件分析技術(shù)1. 靜態(tài)分析技術(shù)靜態(tài)分析是指在不運(yùn)行軟件的前提下進(jìn)行的軟件分析過程。靜態(tài)分析的對(duì)象一般是程序源代碼，也可以

10、是目標(biāo)代碼，甚至可以是設(shè)計(jì)模型等形態(tài)的制品。靜態(tài)代碼分析技術(shù)可以應(yīng)用于以下幾個(gè)過程。（1）查找并消除軟件存在的缺陷（2）程序轉(zhuǎn)換，實(shí)施編譯、優(yōu)化等過程（3）后期的演化與維護(hù)（4）動(dòng)態(tài)分析8.2.2 移動(dòng)平臺(tái)應(yīng)用軟件分析技術(shù)根據(jù)各種分析方法使用的廣泛程度以及分析方法的相近性，代碼靜態(tài)分析主要?jiǎng)澐譃?類：基本分析、基于形式化方法的分析、指向分析與其他輔助分析。8.2.2 移動(dòng)平臺(tái)應(yīng)用軟件分析技術(shù)2. 動(dòng)態(tài)分析技術(shù)動(dòng)態(tài)分析是通過運(yùn)行具體程序并獲取程序的輸出或者內(nèi)部狀態(tài)等信息來驗(yàn)證和發(fā)現(xiàn)軟件性質(zhì)的過程。與靜態(tài)分析相比，動(dòng)態(tài)分析具有以下特點(diǎn)。（1）需要運(yùn)行系統(tǒng)，通常需要向系統(tǒng)中輸入具體數(shù)據(jù)。（2）由于有

11、具體的數(shù)據(jù)，因此分析結(jié)果更精確，但也只是對(duì)特定的輸入情況精確，對(duì)于其他的輸入情況則不能保證。動(dòng)態(tài)分析又可以劃分為運(yùn)行信息的獲得時(shí)機(jī)和獲得途徑兩個(gè)方面。在信息獲得時(shí)機(jī)上，根據(jù)軟件是否已經(jīng)上線投入使用，可以將軟件的動(dòng)態(tài)分析分為兩類：離線動(dòng)態(tài)測試/驗(yàn)證和在線監(jiān)測。8.2.2 移動(dòng)平臺(tái)應(yīng)用軟件分析技術(shù) 8.3.1 移動(dòng)App的安全檢測技術(shù) 8.3.2 漏洞掃描技術(shù)8.3 移動(dòng)App的安全檢測目前，移動(dòng)App的安全檢測技術(shù)主要包括：靜態(tài)檢測、動(dòng)態(tài)檢測、人工滲透分析。1. 靜態(tài)檢測利用apktool、dex2jar等靜態(tài)工具對(duì)應(yīng)用軟件進(jìn)行反編譯掃描分析，將搜索到的有安全隱患的代碼進(jìn)行摘錄并存入檢測平臺(tái)后臺(tái)

12、，為后續(xù)的安全檢測提供數(shù)據(jù)依據(jù)。2. 動(dòng)態(tài)檢測通過沙箱模型、虛擬機(jī)等方式對(duì)應(yīng)用軟件的安裝和運(yùn)行過程進(jìn)行行為監(jiān)測分析，從外界觀察應(yīng)用程序的執(zhí)行過程，進(jìn)而記錄應(yīng)用程序所表現(xiàn)出來的惡意行為。3. 人工滲透分析由資深測試人員對(duì)移動(dòng)App進(jìn)行檢測分析，通過人工安裝、運(yùn)行和試用來圈定檢測重點(diǎn)，綜合運(yùn)用移動(dòng)App滲透測試技術(shù)，在涵蓋基礎(chǔ)檢測和深度檢測的同時(shí)，兼顧側(cè)重點(diǎn)檢測，為移動(dòng)App提供更全面、更專業(yè)、更貼合實(shí)際的分析服務(wù)。8.3.1 移動(dòng)App的安全檢測技術(shù)漏洞掃描是對(duì)移動(dòng)App進(jìn)行安全檢測的主要手段之一。目前，漏洞掃描包括以下4種檢測技術(shù)。（1）基于應(yīng)用軟件的檢測技術(shù)。它采用被動(dòng)的、非破壞性的方法來檢

13、查應(yīng)用軟件包的設(shè)置，尋找安全漏洞。（2）基于主機(jī)的檢測技術(shù)。它采用被動(dòng)的、非破壞性的方法對(duì)系統(tǒng)進(jìn)行檢測。通常，它會(huì)涉及系統(tǒng)的內(nèi)核、文件的屬性、操作系統(tǒng)的補(bǔ)丁等部分，同時(shí)它還采用了口令解密、剔除簡單口令等技術(shù)。因此，這種技術(shù)可以非常準(zhǔn)確地定位系統(tǒng)的問題，發(fā)現(xiàn)系統(tǒng)漏洞。它的缺點(diǎn)是與平臺(tái)相關(guān)，升級(jí)過程復(fù)雜。（3）基于目標(biāo)的漏洞檢測技術(shù)。它采用被動(dòng)的、非破壞性的方法檢查系統(tǒng)屬性和文件屬性。（4）基于網(wǎng)絡(luò)的檢測技術(shù)。它采用積極的、非破壞性的方法來檢驗(yàn)系統(tǒng)是否有可能被攻擊或崩潰。它使用一系列的腳本來模擬針對(duì)系統(tǒng)的攻擊行為，然后對(duì)結(jié)果進(jìn)行分析，而且它還針對(duì)已知的網(wǎng)絡(luò)漏洞進(jìn)行檢驗(yàn)。8.3.2 漏洞掃描技術(shù) 8

14、.4.1 移動(dòng)App安全防護(hù)策略 8.4.2 移動(dòng)App加固技術(shù)8.4 移動(dòng)App的安全防護(hù)在面對(duì)移動(dòng)App的安全問題威脅時(shí)，需要確定具體的安全防護(hù)策略，即我們需要采取怎樣的防護(hù)措施來應(yīng)對(duì)移動(dòng)App的安全威脅。在實(shí)際中，移動(dòng)App的安全防護(hù)策略可以分為以下3類。1. 安全檢測通過自動(dòng)化檢測和人工滲透測試對(duì)移動(dòng)App進(jìn)行全面檢測，挖掘出系統(tǒng)源碼中可能存在的漏洞和安全問題，幫助開發(fā)者了解并提高其開發(fā)應(yīng)用程序的安全性，有效預(yù)防可能存在的安全風(fēng)險(xiǎn)。8.4.1 移動(dòng)App安全防護(hù)策略2. 安全加固安全加固是針對(duì)移動(dòng)App普遍存在的破解、篡改、盜版、調(diào)試、數(shù)據(jù)竊取等各類安全風(fēng)險(xiǎn)而提供的一種有效的安全防護(hù)手

15、段，其核心加固技術(shù)主要包括防逆向、防篡改、防調(diào)試和防竊取4個(gè)方面。安全加固既可以保護(hù)App自身安全，也能保護(hù)App的運(yùn)行環(huán)境和業(yè)務(wù)場景。3. 安全監(jiān)測安全監(jiān)測是通過對(duì)全網(wǎng)各種渠道的各類App進(jìn)行盜版仿冒、漏洞分布、惡意違規(guī)等方面的檢測，分析收集到的數(shù)據(jù)，精確識(shí)別出有問題的應(yīng)用程序，并發(fā)出預(yù)警提示，同時(shí)將結(jié)果反饋給檢測和加固環(huán)節(jié)，從而形成安全防護(hù)閉環(huán)。8.4.1 移動(dòng)App安全防護(hù)策略移動(dòng)App安全加固是一項(xiàng)面向互聯(lián)網(wǎng)企業(yè)和個(gè)人開發(fā)者的在線加密服務(wù)，目前支持Android系統(tǒng)的應(yīng)用軟件加密。用戶只需提供APK軟件包即可快速集成防靜態(tài)工具分析、DEX函數(shù)加密、SO文件加殼、內(nèi)存保護(hù)、反調(diào)試、防二次

16、打包等多項(xiàng)安全功能，而且支持對(duì)金融、手機(jī)游戲、電商、社交等多個(gè)行業(yè)的App做加固保護(hù)，避免核心代碼被反編譯、請(qǐng)求協(xié)議被偽造以及APK軟件包被植入惡意代碼等安全問題。移動(dòng)App加固主要從技術(shù)層面對(duì)DEX文件、SO文件、資源文件等進(jìn)行保護(hù)，為應(yīng)對(duì)不斷出現(xiàn)的新型黑客攻擊手段，加固技術(shù)也經(jīng)歷了幾代技術(shù)上的更新?lián)Q代。8.4.2 移動(dòng)App加固技術(shù)1. 第一代保護(hù)技術(shù)代碼混淆保護(hù)技術(shù)Android程序編譯后的字節(jié)碼包含了很多源代碼的信息，會(huì)帶有許多語義信息，很容易被反編譯成為Java源代碼。為了防止這種現(xiàn)象發(fā)生，需要對(duì)Java字節(jié)碼進(jìn)行混淆操作，采用的方法包括名稱混淆、字符串加密、反射替換、日志清除、花指

17、令等。這一保護(hù)技術(shù)在一定程度上保護(hù)了程序的邏輯，但保護(hù)強(qiáng)度有限，無法對(duì)抗靜態(tài)分析、動(dòng)態(tài)調(diào)試和反射調(diào)用沖突。8.4.2 移動(dòng)App加固技術(shù)2. 第二代保護(hù)技術(shù)DEX文件整體加固保護(hù)技術(shù)這一技術(shù)是基于類加載的方式實(shí)現(xiàn)的，整個(gè)加固過程涉及3個(gè)程序，即源程序、加殼程序、解殼程序?；驹硎菍?duì)DEX文件進(jìn)行整體加密后存放在APK的資源中，運(yùn)行時(shí)將加密后的DEX文件在內(nèi)存中進(jìn)行解密，并由Dalvik虛擬機(jī)來動(dòng)態(tài)加載執(zhí)行。DEX文件整體加固的目的是為了增加靜態(tài)分析的難度，可以有效應(yīng)對(duì)靜態(tài)分析、二次打包等攻擊。然而，這一技術(shù)無法完全對(duì)抗動(dòng)態(tài)調(diào)試、內(nèi)存dump、自動(dòng)化脫殼工具、定制化虛擬機(jī)等攻擊。8.4.2 移

18、動(dòng)App加固技術(shù)3.第三保護(hù)技術(shù)DEX函數(shù)抽取加密保護(hù)技術(shù)針對(duì)DEX文件整體加固可以被內(nèi)存dump的弱點(diǎn)，第三代保護(hù)技術(shù)對(duì)代碼中的每個(gè)方法進(jìn)行抽取并單獨(dú)加密，基本原理是利用Java虛擬機(jī)執(zhí)行方法的機(jī)制來實(shí)現(xiàn)。這一機(jī)制將解密操作延遲到方法執(zhí)行之前才開始加載該方法的代碼，同時(shí)解密后的代碼在內(nèi)存中是不連續(xù)存放的。4. 第四代加固保護(hù)技術(shù)DEX文件混合加密保護(hù)技術(shù)混淆加密主要是為了隱藏DEX文件中的關(guān)鍵代碼。代碼類型按隱藏力度由輕到重可分為：靜態(tài)變量、函數(shù)的重復(fù)定義、函數(shù)、類。混淆后的DEX文件依舊可以通過dex2jar、jade等工具反編譯成Java源代碼，但里面的關(guān)鍵代碼無法看到。相比于前幾代加固

19、技術(shù)，第四代加固技術(shù)的加密強(qiáng)度有了很大的提高，能夠?qū)勾蟛糠侄ㄖ苹摎C(jī)，安全性和兼容性達(dá)到了比較好的平衡。但是，第四代加固技術(shù)無法完全對(duì)抗基于方法重組的脫殼機(jī)，存在被破解的風(fēng)險(xiǎn)。8.4.2 移動(dòng)App加固技術(shù)5. 第五代加固保護(hù)技術(shù)VMP保護(hù)技術(shù)虛擬機(jī)（VMP）保護(hù)技術(shù)是當(dāng)下最前沿的移動(dòng)App的安全加固技術(shù)之一。虛擬機(jī)保護(hù)技術(shù)是被動(dòng)型軟件保護(hù)技術(shù)的一個(gè)分支，根據(jù)應(yīng)用層級(jí)的不同，它可以分為硬件抽象層虛擬機(jī)、操作系統(tǒng)層虛擬機(jī)和軟件應(yīng)用層虛擬機(jī)。用于保護(hù)軟件安全的虛擬機(jī)屬于軟件應(yīng)用層虛擬機(jī)，是對(duì)被保護(hù)的目標(biāo)程序的核心代碼進(jìn)行“編譯”。在這里，編譯的對(duì)象不再是源文件，而是二進(jìn)制文件，是由編譯器生成的本機(jī)代碼（Native Code）轉(zhuǎn)換成效果等價(jià)的byte