更多精彩 >

技术详析|通付盾为行程卡App保驾护航

2021-04-20 13:21:55   来源:  作者: 

摘要:近期,由通付盾提供安全技术保障服务的最新版“通信大数据行程卡App”已登录各大应用商店,用户搜索"通信行程卡"即可下载使用。

前言

近期,由通付盾提供安全技术保障服务的最新版通信大数据行程卡App”已登录各大应用商店,用户搜索"通信行程卡"即可下载使用。

通信大数据行程卡App”(简称行程卡)是在工信部指导下,由中国信息通信研究院与中国电信、中国移动、中国联通三大电信运营商共同推出的行程查询服务,该服务于2020213日面向公众推出,用户可免费查询本人14天内的到访地。上线仅一个多月累计查询量已经超过8.5亿次。

2020213日起,三大运营商提供的短信查询行程服务已覆盖2亿多用户。

2020229日,短信查询升级为扫码查询,并提供了统一的网页查询入口。

202036日始,在通信大数据行程卡上上线了境外到访地的查询功能,可以对手机用户前14天到访的境外国家或者地区的信息进行查验,可及时发现瞒报、漏报、不实申报行程信息的问题。

 1.png

1-1 行程卡App

通付盾凭借自身在移动安全领域与隐私保护领域研发服务实力,成为此次技术保障服务支撑方,为行程卡提高安全防护等级,防止代码注入、动态调试、内存注入攻击,让应用免遭破解、二次打包、API攻击、数据窃取等威胁,保护App及其资源的完整性及安全性。

下文将分别从Android,iOS两个平台的App出发,从代码安全、攻防安全、API接口安全三个方面详细描述此次保护方案的具体实施办法及最终的保护效果。

 

Android保护方案的具体办法

针对程序开发过程中可能产生的安全漏洞风险以及Android系统自身的安全缺陷,为行程卡安卓端设计了一套集合代码安全、攻防安全、完整性安全、数据安全于一体的完整解决方案,使程序反逆向能力更强,安全性更高。

 2.png

2-1 Android解决方案功能示意图

1、代码安全

市场上针对Android反编译工具很多,如IDA,dex2Jar,jd-gui等。通过反编译后的程序代码接近源代码,具有极高易读性,极易暴露程序的业务逻辑和处理方式,如服务器数据请求方式、行程结果显示逻辑等。因此,对Android程序代码进行加密保护至关重要。

代码保护采用了DEX加壳与VMP虚拟机技术混合的解决方案。可以有效的防止反编译工具,内存dump等技术对代码造成泄漏或篡改。

1)技术原理

Android主要使用Java进行代码编写,开发完成后,编译器将Java代码打包进安装包中classes.dex文件中,有些程序业务较复杂,编译时会生成多个dex文件。因此,代码保护的首要目标就是Android安装包中的dex文件。

DEX加壳技术:基本原理是对原始的dex文件进行整体加密,隐藏dex文件源码,修改程序入口。运行时通过Dalvik虚拟机动态加载执行解密后的dex文件。具体流程如下:

 3.png

2-2 DEX加壳技术流程示意图

VMP保护技术:与传统的加壳工具不同,不是简单地对目标进行加密、压缩。而是修改目标源码,让目标的部分指令在VMP创建的虚拟环境下运行。首先对原始字节码进行加密处理,然后将函数(方法)替换为native属性,转到JNI层去执行,最后在JNI层将字节码解密,并解释执行。具体流程如下:

 4.png

2-3 VMP 虚拟机保护技术流程示意图

2)实现效果

通过逆向工具查看经过保护后的DEX文件反编译效果,可见保护后的核心代码得到了保护,无法查看具体函数方法,不易被逆向分析,重要的数据和业务逻辑不易被泄漏,达到了代码保护的目的。

 5.png

2-4 代码保护后效果演示图

2、攻防安全

动态攻击指攻击者利用攻击工具如调试工具、拦截器、注入工具等跟踪拦截目标程序,进行代码查看,业务逻辑分析,并对其操作数据进行窃取或篡改。比如:修改行程结果处理逻辑为永远显示绿色码等。

动态攻击防护采用了反调试、防注入、防模拟器以及防界面劫持等多重交叉混合的解决方案。通过添加防护处理,可以有效保护用户的敏感信息安全,防止攻击者通过内存注入等方式窃取。

1)技术原理

反调试:通过双向ptrace保护,阻止其他进程进行ptrace调试操作,同时采用轮询的方式监控重点函数方法,检查其是否处于调试状态,最后监听进程状态。

防注入:动态注入一般使用如hijack工具,向指定进程中注入SO文件。防注入的保护方案通过对市场主流注入工具进行监测,保护整个程序生命周期的进程安全,阻止动态注入攻击。

动态劫持:对相关检测函数添加__attribute__(constructor)属性,保证其在SO加载时优先进行系统运行环境检测,查看是否存在zjdroidxposedsubstrate等劫持工具。

2)实现效果

反调试:采用调试防护策略后的程序在检测到处于调试状态时会强制退出,阻止动态调试操作。

防注入:采用注入防护策略后的程序在监测到发生注入时,会进行加载拦截,让注入无法挂载。

 6.png

2-5 保护后的注入效果演示图

防劫持:采用劫持防护策略后的程序在监测到环境中存在劫持工具时,终止程序继续运行或者弹窗提示运行风险。

3、完整性验证

攻击者通过逆向分析,对程序代码、资源文件等进行添加或修改,再打包生成新的程序安装包发布到市场中,即可实现应用钓鱼。在应用中广告SDK,或者通过插入恶意代码窃取用户的登录账号密码、拦截短信验证码,甚至修改行程码的显示结果等。这些被二次打包发布的安装包,对疫情防空会产生严重威胁。因此,需要对程序的完整性进行有效保护。

应用完整性验证保护方案主要从文件校验、签名证书校验、配置文件加密入手。

1)技术原理

文件校验:通过对程序安装包中所有的文件做加密提取处理,再对提取的校验数据及校验代码进行存储保护,程序启动时立即校验所有文件,检测是否发生篡改。

签名证书校验:通过对程序安装包中的证书信息进行加密处理,提取加密后的数据作为校验标准,将校验数据进行存储保护,程序启动时校验当前签名信息是否与校验数据一致。

配置文件加密:遍历提取程序包中的XML配置文件,对文件做加密处理,并提取加密后的数据作为校验标准。程序启动后校验当前的配置文件是否与校验数据一致。

2)实现效果

APK具有完整性校验,只要修改了其中的程序代码、资源文件、配置文件,程序立即终止运行。

4、小结

通付盾的Android保护方案对程序的代码安全,动态攻击防护、程序完整性都起到了很好保护作用,大大增加程序逆向阅读难度,有效阻止动态攻击,保护App及其资源的完整性及安全性。

iOS保护方案的具体办法

相对安卓系统而言,iOS系统的封闭性为其终端上的APP起到了很好的保护作用。但近年来iOS系统漏洞频发,iOS设备上的应用屡遭恶意攻击;此外,安全开发管制缺失,安全编码不规范,缺乏对应用运行环境、传输协议、加密机制等的安全防护,导致应用防护能力极弱。

其次,iOS设备一旦被越狱后系统便失去了安全防护,设备安全性降低。运行在越狱设备上的iOS应用,非常容易遭受破解分析,同时,iOS越狱的漏洞很容易被恶意软件利用,造成用户信息泄露、恶意扣费、设备中毒等安全问题。

为此,针对行程卡App iOS端的程序安全采用了集合代码安全、动态防护以及完整性校验于一体的App保护解决方案。

1. 代码安全

iOS端行程卡的代码保护方案采用的是iPA动态壳保护的模式。整体采用 iPA加固技术,对安装包中的可执行文件进行加壳保护。

1)技术原理

iPA动态壳保护:提取iPA文件中的可执行文件、info.plist等资源文件,通过加密程序对可执行文件链接壳代码、Mach-O文件加密,对保护后的二进制文件进行重打包、重签名后生成受保护IPA,受保护的IPA功能、性能等均不受影响。

 7.png

3-1 iPA动态壳保护技术流程示意图

代码混淆:通过在程序代码编译阶段通过进行指令替换、字符串加密等技术手段,增加代码阅读难度,极大提高程序执行逻辑被逆向分析的难度,降低被破解的风险。除此以外,通过将程序代码中的类名、方法名、属性名、变量名等符号进行隐藏或混淆保护。从而使代码安全性更高,能够更好地对抗逆向分析。

2)实现效果

通过Hopper查看经过代码保护后的可执行文件反编译效果,可见反编译后代码段起到了混淆和加密,代码可读性差,达到了代码保护的效果。

 8.png

3-2 保护后代码反编译效果图

2. 动态防护

对于 iOS 应用而言,越狱环境的安全性相对较低,应用存在较大的被调试、篡改的风险。因此针对iOS的动态防护实现体现在程序安装运行时,可对运行环境进行安全检测查看是否处于越狱环境,在程序运行时实时监测运行环境是否遭受逆向攻击,全周期保证应用安全。

1)技术原理

截屏/录屏检测(anti- Screen capture):程序运行时,动态监测应用是否正在执行截屏操作,检测到程序正在截屏/录屏操作,启动防护机制,程序告警。

反调试(anti-Debug): 程序运行时,实时检测ptrace状态防止被调试工具如debugserverlldb等挂载,当检测到程序被调试时,启动防护机制,防止调试工具挂载,处于调试状态时程序退出运行。

反钩子(anti-Hook): 程序运行时,动态监测应用是否正在被 Hook,检测到程序被 Hook,启动防护机制,程序退出运行。

反注入(anti-Inject): 程序运行时,实时动态检测应用的动态库加载情况,一旦发现有新的动态库注入程序退出运行。其次,动态监测应用是否正在被第三方工具进行注入操作,检测到程序被注入,启动防护机制,程序退出运行。反篡改(anti-Tamper): 程序运行时,动态监测应用进程,防止被篡改工具挂载调试篡改。

2)实现效果

当检测到程序处于动态攻击状态时,启动防护机制,终止程序运行。

 9.png

3-3 保护后调试效果图(挂载拦截)

3. 完整性校验

iOS端的应用完整性验证保护方案主要从资源文件校验、签名证书校验、可执行文件完整性着手。

1)技术原理

资源文件校验:通过对程序安装包中所有的资源文件做加密提取处理,再对提取的校验数据进行安全存储保护,程序启动时立即校验所有资源文件,检测是否发生篡改。

签名证书校验:通过对程序安装包中的证书信息作为校验数据进行提取并安全存储,程序启动时校验当前签名信息是否与校验数据一致。

可执行文件完整性校验:通过对程序安装包中的可执行文件的数据段做加密处理,程序启动时立即校验程序的数据段是否发生篡改。

2)实现效果

当检测到程序处于动态攻击状态时,启动防护机制,终止程序运行。

4. 小结

通付盾的iOS保护方案对程序的代码安全,动态攻击防护、程序完整性都达到了很好保护作用,对常用的逆向工具、动态攻击工具都起到了很好的拦截阻断作用,应用安全性得到很大提高。同时采用iPA加固技术使整个保护过程更灵活、兼容性更强、具有更高的代码安全性。

0x04 API接口安全保护方案的具体办法

移动App的背后是支撑其运行的后台服务,App与后台服务通过API接口进行数据交换。在移动App安全设计中,API接口安全设计是重中之中,API接口安全的好坏,直接关系整个系统及用户数据的安全。经常会看见一些移动App的后台API接口被非法利用,身份验证信息和敏感数据在传输过程中被不法分子截获,对用户的信息安全造成严重威胁。甚至可以利用API接口漏洞攻击篡改系统数据,造成严重损失。对于API接口安全,我们也向行程卡”App提供了以下几种安全设计建议,保障了API接口安全。

1)动态Token授权认证,防止未授权用户获取数据及完善身份认证;

2)时间戳超时机制,可有效防止DOS攻击;

3)数据签名机制,防止传输的数据被篡改及完善身份认证;

4)拒绝重复调用,防止接口被重放攻击、防止被恶意采集;

5)采用HTTPS通信协议及有效证书验证,防止数据明文传输及中间人攻击。

 

结语

通付盾加固解决方案经历了长期技术积累和持续创新过程,采用多种专利技术,并首次将VMP虚拟机保护技术运用到App加固领域,DEX加壳与VMP保护技术相结合的混合加固模式,多种技术交叉融合,纵深防护,达到合规性要求,保护客户的财产、隐私、业务、数据、交易等安全;在iOS加固中,通付盾国内首创IPA动态壳加固,无需提供应用的源代码,可以有效避免源码泄露问题。

此次行程卡”App的加固技术方案,同时采用了通付盾安全专家提出的DEX加壳与VMP保护技术结合的混合加固模式,以及国内首创的IPA动态壳加固,确保了AndroidiOS两种生态运行环境下的数据安全。

API接口安全保护方面,凭借多年的安全开发、渗透测试、软件源代码审计经验,为行程卡”App提供了有效的API接口保护设计方案。

近日,通付盾安全专家们针对Android加固方案第一时间完成了Android 12 DP2版本兼容性适配,密切关注着行业最前沿技术动态,确保通付盾加固服务时刻保持完美的兼容效果,不忘初心,严格保证客户服务质量。

 

猜你喜欢

通付盾入选 IDC 中国区块链市场 1.0 榜单

通付盾

根据2021年3月发布的最新IDC全球区块链支出指南,中国区块链市场已达到2. 86亿美元规模。在政...

2021-04-23

生态合作,共创共享|通付盾与中国信通院云大所签订战略合作协议

通付盾

2020年9月16日,通付盾与中国信息通信研究院云计算与大数据研究所(以下简称“中国信通院云大所”)...

2020-09-24

国家密码技术团体标准正式亮相,通付盾深度参与标准制定

通付盾

近日,以“聚合应变,内生安全”为主题的2020北京网络安全大会(BCS 2020)在京举行。

2020-08-18

叮当健康旗下叮当快药蝉联年度医药APP排行榜NO•1

叮当健康

近日,由中国科学院《互联网周刊》、德本咨询、eNet研究院联合发布的“2023年度医药APP排行”榜...

2024-02-01

柏视医疗完成B轮战略融资

柏视医疗

近日,广州柏视医疗科技有限公司(以下简称“柏视医疗”)宣布顺利完成由诸暨谢诺兴视创业投资合伙企业投资...

2024-02-01

「中科搏锐」完成数千万元A轮战略融资

中科搏锐

近日,中科搏锐(北京)科技有限公司(以下简称“中科搏锐”)宣布完成数千万元A轮战略融资。

2024-02-01

柯君医药宣布完成 B 轮融资

柯君医药

1 月31 日 -创新型药物研发的柯君医药近日宣布顺利完成亿元 B 轮融资,资金将主要用于推进柯君医...

2024-02-01

「邑文科技」完成超5亿元D轮融资

邑文科技

近日,无锡邑文微电子科技股份有限公司(以下简称“邑文科技”)完成超5亿元D轮融资,本轮由中金资本旗下...

2024-02-01

华创鸿度完成数千万元融资

华创鸿度

近日,毅达资本完成对安徽华创鸿度光电科技有限公司(以下简称“华创鸿度”)数千万元投资

2024-02-01

陈祉希接棒万达电影,500亿影视航母意味着什么?

万达电影

2023年电影产业最受瞩目的大事件,非中国儒意收购万达电影莫属。

2024-02-01

贝特瑞主导硬炭负极国标将实施,董事长贺雪琴建言促进储能产业发展

贝特瑞

1月28日,深圳两会时间开启。深圳市政协委员、贝特瑞集团董事长贺雪琴带来了《关于加强“电化学储能”安...

2024-01-31

投资家网(www.investorscn.com)是国内领先的资本与产业创新综合服务平台。为活跃于中国市场的VC/PE、上市公司、创业企业、地方政府等提供专业的第三方信息服务,包括行业媒体、智库服务、会议服务及生态服务。长按右侧二维码添加"投资哥"可与小编深入交流,并可加入微信群参与官方活动,赶快行动吧。

避免卡脖子,硬科技如何“逆境”突围?

2024年1月10日,由投资家网主办,财经锐眼、有时间协办,北京微金科技有限公司承办的“第十二届股权...

VC/PE眼中的“专精特新”

2024年1月10日,由投资家网主办,财经锐眼、有时间协办,北京微金科技有限公司承办的“第十二届股权...

国内首次!可重复使用技术验证火箭复用飞行成功!

星际荣耀双曲线二号可重复使用验证火箭第二次飞行试验圆满成功

坚守17年,AI“老兵”要上市了

科创板即将迎来一名新成员。

金山云旗下公司增资至4亿美元

金山云旗下公司增资至4亿美元

投资家网协办:首届深圳湾资本市场年会隆重举行

投资家网协办:首届深圳湾资本市场年会隆重举行

12月20日,由南山区资本市场协会主办,投资家网、桐鹏汇财金高管俱乐部协办的资本巿场年会随即举行。

“投资家网·2023中国价值企业榜”重磅发布

“投资家网·2023中国价值企业榜”重磅发布

身处百年未有之大变局,中国经济这艘万吨巨轮,早已屹立于世界舞台中央。

朱民对话瑞•达利欧:2024全球政治风险大于经济与金融风险|和讯财经2023年会

朱民对话瑞•达利欧:2024全球政治风险大于经济与金融风险|和讯财经2023年会

在全球经济经历了激进加息、经济增速放缓、地缘冲突、石油减产等种种事件之后,全球经济增长的态势继续放缓...

专家学者齐聚和讯财经2023年会 寻找中国经济信心之源

专家学者齐聚和讯财经2023年会 寻找中国经济信心之源

2023行至岁末。在诸多外部不确定因素依然强势的背景下,中国经济运行的积极因素正在调整、积累。

蓄势·共进|第17届中国投资年会·有限合伙人峰会即将开启

蓄势·共进|第17届中国投资年会·有限合伙人峰会即将开启

2023年末,充满高度不确定性的全球经济、此起彼伏的地缘政治冲突、重构调整的全球供应链——投资者正在...