如何作好iOS應用安全？這有一把行之有效的「三板斧」

時間 2019-11-25

標籤如何作好 ios 應用安全一把行之有效板斧欄目 iOS 简体版

原文原文鏈接

本文由網易雲發佈。ios

iOS應用面臨不少破解問題，常見的有IAP內購破解、山寨版本、破解版本等；大衆應用上，微信搶紅包、微信多開等；而在iOS遊戲上，愈來愈氾濫的外掛問題也不斷困擾着遊戲廠商。算法

網易雲易盾資深安全開發工程師王桂林安全

3月17日，Cocoa社區CVP系列開發者沙龍在北京舉辦，網易雲易盾資深安全開發工程師王桂林出席沙龍，並作《iOS遊戲的破解以及防禦》的演講，分享了究竟該如何作好App的安全防禦工做。微信

攻防，首先得知道他們是怎麼破的函數

要想防禦的好，必需要知道對手是怎麼破解的，王桂林首先分享了兩個破解分析實例。工具

遊戲加速分析過程加密

第一個實例就是加速器，「加速器原理都差很少，只是實現方式不同。」王桂林說，它們的原理都是經過修改時間相關函數實現加減速功能，實現方式上主要是兩大類，一類是U3D，另一類是COCOS。如何作的呢？「經過有無UnityAppController來判斷是否爲Unity遊戲。若是爲Unity遊戲的話，就會用Hook OC的方法；若是不是Unity遊戲，就會採用常規的Hook Gettimeofday方式修改遊戲。」調試

修改參數blog

破解效果遊戲

只要是手遊，基本都被外掛侵害，《旅行青蛙》是當下很是火的佛系遊戲，網易雲易盾資深安全開發工程師因而就對它進行了分析：經過iOS和安裝安裝包聯合分析，就能夠發現iOS使用的是IL2CPP模式，C#腳本轉成C/C++代碼，使用II2CppDumper還原符號。王桂林說：「知道這些開發狀況後，就能夠搜索三葉草、抽獎券代碼，經過修改對應的代碼達到三葉草數目無限、抽獎券變成本身想要的效果等。」

不管是加速器，仍是外掛，都會傷害正常玩家——包括付費玩家，同時也會影響遊戲開發者的收入，面對這些狀況時，咱們該怎麼辦？

iOS遊戲安全，行之有效的「三板斧」

那iOS遊戲怎麼才能作好相應的保護？面對現場你們期盼的眼神，王桂林分享了網易雲易盾行之有效的「三板斧」：

第一板斧是防靜態分析，這裏包括字符串加密、符號混淆、代碼邏輯混淆和遊戲存檔加密；
第二板斧是防動態調試、反調試和通訊安全（數據加密）；
第三板斧是外掛檢測、加速掛、內存修改掛和自動任務掛等。

字符串加密

代碼邏輯混淆

具體來看字符串加密、符號混淆、代碼邏輯混淆。字符串加密，就是在編譯器編譯源碼時，對程序中的字符串進行加密，運行的時候動態解密；符號混淆，則是將代碼中使用的類名、方法名、屬性替換成其餘意義的名字；代碼邏輯混淆，就是在編譯器編譯源碼時，對代碼結構進行變形，提升代碼的複雜度和逆向分析難度，從而保護程序不被輕易破解，裏面也能夠加密算法邏輯和特定的驗證邏輯，好比一開始的代碼結構很簡單，改了之後就會變得很複雜。

反調試

王桂林說，上面的都屬於放靜態分析範疇，它都是對變量進行加密保護，讓破解者沒法搜索。外掛都會有反調試分析，所以靜態分析以外還有防動態調試，好比說反調試，它使應用沒法被調試、避免被動態分析的風險；同時，易盾還會作通訊數據加密，防止被抓包工具抓包分析。

作好上面防禦以外，易盾也採起主動出擊，作外掛檢測、加速掛、內存修改掛和自動任務掛等。

「這就是網易雲易盾行之有效的三板斧——從防靜態分析到防動態調試到最後的外掛識別，全方位保護iOS應用和遊戲安全。」王桂林最後說。

感興趣的朋友能夠點這裏免費試用網易雲易盾加固產品。

「移動安全診斷室」活動

原文地址：http://mp.weixin.qq.com/s/KIp3ZHpd7O2OCwhTauVkKA

瞭解網易雲：
網易雲官網：https://www.163yun.com/
新用戶大禮包：https://www.163yun.com/gift
網易雲社區：https://sq.163yun.com/