移动安全

移动安全(Mobile Security)基于阿里聚安全的核心技术,为移动应用(APP)提供全生命周期的安全服务,其能够准确发现应用的安全漏洞,恶意代码,仿冒应用等安全风险;通过应用加固和安全组件等功能,大幅提高应用反逆向、反破解能力。护航手机淘宝,支付宝等超级应用,历经多次双11实战考验。

产品概述

移动安全的产品与服务从风险管理流程来看,分为风险检测,安全防护,威胁情报三个步骤,覆盖应用从设计、开发、测试到上线的完整生命周期,一站式解决用户遇到的移动安全痛点。

相较业内同类产品,阿里云的移动安全服务有如下优势:

强大的扫描能力

自主研发的恶意代码扫描引擎是AV-Test历史上最年轻的满分冠军,漏洞扫描引擎领先业界同类竞品一代以上,覆盖95%以上的已知漏洞,仿冒监测引擎实现全网覆盖。

淘宝同款防护技术

移动安全由应用加固和安全组件组成的内外结合的全方位安全防护技术应用于支付宝淘宝等超级应用上,稳定性强,兼容性好,体积小,对移动应用几乎没有影响。

雄厚的人才积累

移动安全拥有多位业界重大影响力的白帽子,如Xfocus创始人,dex2jar作者,Black Hat /RSA特约Speaker,具有非常雄厚的实力。

快速接入,可系统集成

所有服务都可以通过SaaS服务提供,方便企业用户能够简单快速接入,并可集成到自有系统中,实现自动化服务。

全生命周期风险管控

通过恶意代码扫描、漏洞扫描发现内在风险,通过应用加固、安全组件抵御外部攻击风险,通过仿冒检测快速掌握品牌风险。完整的风险管控流程,覆盖移动应用全生命周期的可能遇到的风险

产品功能

漏洞扫描

漏洞扫描

该功能通过对Android应用进行扫描,快速定位漏洞位置,并提供完整修复方案。采用静态扫描和动态扫描结合的方式能最大限度覆盖应用中潜在的安全漏洞:

  • 静态扫描采用污点分析技术,通过精确回溯变量值,能够在寄存器的粒度对漏洞进行分析跟踪。
  • 动态扫描采用模糊测试方法,通过还原真实的Android环境,得到精确结果。

    恶意代码扫描

    恶意代码扫描

    该功能针对使用第三方插件、委托第三方开发或应用分发渠道型的企业用户,通过对Android应用进行扫描,准确识别植入到应用中的恶意代码。

  • 自主研发的扫描引擎,在国际权威测试AV-Test中多次获得满分。
  • 采用先进的机器学习算法和大数据技术,自动提取特征码。

    仿冒检测

    仿冒检测

    该功能是企业品牌风险识别的重要工具,能够精准识别出仿冒Android应用的传播渠道,帮助企业遏制仿冒应用的传播,降低对品牌的伤害。覆盖范围包括:

  • 全球300多个应用分发渠道。
  • 网盘、论坛、企业网站、钓鱼网站等非典型渠道。

    应用加固

    应用加固

    应用加固通过对Android应用进行重新编译、加壳保护、修改指令调用顺序等手段来增强应用反破解能力。我们的加固功能注重加固强度与兼容性并重,避免一般加固功能盲目追求加固强度导致加固后完全不可用。 应用加固核心功能包括:

  • 反主流静态分析工具: 能够有效的防止黑客通过APKTool,dex2jar,JEB等静态分析工具来分析应用的java层代码。
  • DEX加壳: 通过对DEX文件进行加壳保护,以及动态运行时加载修复等技术手段,能够有效的防止黑客对java层代码的内存dump。
  • SO加壳: 通过对SO文件进行加壳保护,能够有效的防止恶意者通过IDA,readelf等工具对SO里面的逻辑进行分析。
  • 全量混淆: 配置少量混淆规则就能达到80%以上的混效率,完美兼容proguard,大大提升黑客逆向分析难度。
  • java2C: java2C能够将Java代码翻译成C并生成对应的二进制文件,支持对Android APP、Android SDK、及服务端jar包的保护。可保护程序中的核心逻辑,增加攻击者的逆向成本,有效对抗自动化脱壳工具。
  • 自动多渠道打包: 该功能在加固工具中提供,专业版客户可通过此功能对诸多渠道包进行快速加固,便捷高效。
  • 自动签名: 该功能在加固工具中提供,专业版客户可通过此功能对加固后的包进行快速签名。

    安全组件

    安全组件

    安全组件以客户端SDK的形式,保证应用完整、数据安全和执行环境可信,针对性解决移动应用的常见问题如外挂、重打包、网络请求仿冒、机密数据泄露、核心逻辑破解、运行环境不可控等。 安全组件提供的核心功能包括:

  • 安全存储: 安全存储功能在安全沙箱内实现了对于用户数据的安全加密与本地存储,保护用户的隐私数据不被泄露。
  • 安全加密: 安全加密功能在安全沙箱内实现密钥管理与加解密过程,保证密钥的安全性。
  • 安全签名: 安全签名功能在安全沙箱内实现了客户端请求的签名处理,保证客户端与服务端通信请求不被伪造。
  • 白盒加密:最新加密技术,采用复杂的数学运算取代密钥,即使应用被破解,也无法找到密钥。
  • 白盒签名:使用白盒加密的技术进行签名,继承了白盒加密高安全性。

    以上移动安全服务分为基础版和专业版:基础版供用户免费体验,而专业版是付费服务。具体区别如下:

    服务 基础版 专业版

    漏洞扫描

    (a) 漏洞类型、数量、等级、修复建议
    (a) 漏洞类型、数量、等级、修复建议
    (b) 详细漏洞位置

    恶意代码扫描

    (a) 风险分类、等级、描述
    敬请期待

    仿冒检测

    (a) 仿冒应用名、包名
    (a) 仿冒应用名、包名
    (b) 仿冒应用地址

    应用加固

    (a) 反静态分析工具
    (b) DEX加壳
    (a) 反静态分析工具
    (b) DEX加壳
    (c) SO加壳
    (d) 全量混淆
    (e) java2C
    (f) 自动多渠道打包
    (g) 自动签名

    安全组件

    (a) 安全存储
    (b) 安全签名
    (c) 安全加密
    (a) 安全存储
    (b) 安全签名
    (c) 安全加密
    (d) 白盒加密
    (e) 白盒签名

    应用场景

    以下为移动安全服务的常见应用场景

    • 企业自主研发
    • 对第三方开发进行验收
    • 应用分发
    • 具备APP自主开发能力的企业,首先马上对已上线的版本进行漏洞扫描和仿冒检测,修复线上漏洞,举报封杀仿冒应用来源。接着在后续的新版本开发中,在开发阶段就接入安全组件,在测试阶段进行漏洞扫描和修复,并在上线前进行应用加固,从内到外进行安全增强。新版本上线一段时间后,不定时进行仿冒检测,掌握仿冒应用情况

    帮助与文档

    开发者资源