深度解析移動應用安全的四大常見問題及解決方案

當前移動安全中惡意攻擊的現狀能夠歸結爲四個主要方向：網絡安全、數據安全、代碼安全、設備安全。

網絡安全

網絡安全分爲四個部分：數據防泄露、請求防重放、內容防篡改、身份防假裝。

解決數據防泄露的關鍵在於必定要對數據進行加密處理。請求防重放則能夠經過請求時在參數中攜帶時間戳、隨機數、流水號、「時間戳+流水號」這四種方式措施來予以防禦。

內容防篡改須要咱們對內容加鹽哈希，再在服務端校驗哈希值。身份防假裝有兩種解決方案。方案一是Token身份認證：給Token一個有效期，防止Token泄露以後，攻擊者其能夠長期非法調用。

方案二是數字簽名：通訊過程當中發送方對通訊內容進行Hash生成摘要,而後用本身的私鑰進行加密生成數字簽名一塊兒發送給接收方，接收方接收到後用本身的公鑰進行解密來驗證發送方的真實性，經過比對本身發送方的摘要信息與本身計算得出的摘要信息來驗證內容是否被篡改。

數據安全

針對存儲的安全防禦，咱們在數據落地的時候必定要進行加密處理，防止他人拿到重要的敏感數據。其次，咱們要建立私有類型數據，儘可能用private的建立方式，而不是全局的建立方式。

代碼安全

常見逆向工程套路主要分爲三種：反編譯、脫殼、動態分析。如下方式能夠防止代碼反編譯：代碼混淆、簽名驗證、利用反編譯工具漏洞進行防禦、加固。防動態分析則能夠從反調試、反Xposed、反root三個維度進行入手。

設備安全

開發者能夠經過檢查設備所處的環境來判斷設備是否處於異常的狀態。若是設備狀態異常，則極可能處於黑產工具的控制下。常見的黑產工具包括「手機卡商與接碼平臺」、改機工具、打碼平臺以及羣控系統。

黑產的攻擊場景

黑產的攻擊場景主要有如下四種：渠道推廣、登陸註冊、營銷活動、社區互動。在渠道推廣環節，咱們可能會遇到自動化批量刷量的黑產設備。它們會僞造虛假激活，讓咱們的錢白白浪費。

在登陸註冊之時，黑產方會對咱們進行撞庫攻擊，並提供大量的垃圾帳號進行註冊。到了營銷活動環節，攻擊者能夠針對APP優惠活動，提供大量的帳號薅羊毛。社區互動過程當中，直播刷榜、發送垃圾廣告都是黑產攻擊的常見形式。

防範黑產的措施

咱們首先能夠對手機上的設備信息進行全方面的檢查。檢查維度包括設備信息有無被篡改、手機上root環境是否處於root環境、有無安裝一個Xposed的框架、系統是否被修改過、是否處於虛擬機的環境、部分地理位置異常是是否頻繁。

檢查後對這些風控數據予以記錄，並把這些數據提交給風控引擎進行多維度的分析，好比能夠對它進行IP風險評分、IP畫像以及判斷手機號是否在黑名單。咱們經過多維度的模型標識高風險的用戶、風險等級並告知客戶端，以此進行一些防禦。

防範黑產的案例

以渠道質量評估爲例，渠道刷量分爲機器刷量和人工刷量。機器刷量的特色是用羣控系統配合一個改機工具，全自動化的下載和激活。其自動化程度比較高，可是咱們能夠經過識別設備信息、分析機器操做與人操做的差別化特徵，從而標識出機器刷量的狀況。

而人工刷量通常經過衆包平臺、IM羣等下發任務的方式進行。其特色是人員分散、設備真實，但技術能力偏弱。人工刷量下設備會頻繁地卸載和安裝，應用的活躍程度跟以往不同，處於異常狀態。咱們能夠結合用戶畫像和這些特色標識這一類人工刷量的行爲。

個驗

爲幫助開發者智能識別安全風險，個推在移動安全領域也推出了相應的解決方案-「個驗」。個驗是個推面向開發者推出的「一鍵認證」SDK，能夠幫助APP開發者實現用戶一鍵免密登陸，簡化APP登陸流程，有效減小用戶流失並提高轉化。

做爲新一代的驗證解決方案，個推一鍵認證的功能特性更體如今能爲APP開發者提供風險識別和風險防禦的系列方案。

在風險識別方面，個驗能夠經過設備、網絡、行爲等多維度識別風險設備與黑產人羣。準確識別出風險後，企業可提早對其加以防範，有效下降運營風險。在風險防禦方面，個驗在不影響正經常使用戶使用的狀況下，能夠經過動畫驗證碼阻止惡意自動化程序的進一步操做。

結語

現在，黑產攻擊形成資產或聲譽損失的現場此起彼伏，設備風險控制任重道遠。個推將持續挖掘其豐富的數據資產，不斷打磨自身技術，幫助APP開發者有效識別風險設備、保障業務安全。