开场
2015阿里移动技术峰会(四)
移动互联网时代的安全挑战(典扬)
安全问题:破解、漏洞、木马
破解
破解是安全问题的开端,技术的基础
APKtool、dex2Jar、JEB、IDA
1、伪造客户端
模拟通信内容和协议
2、重打包,插广告、偷资料、刷流量
挖漏洞,黑盒测试、源码测试(目的,赏金、对付竞品)
对策:
1、java层,程序的混淆和加固,安全性低
2、把战场拖到有利于我们的底层,再配合技术
代码膨胀,指令扭曲、VMP
3、把核心的数据、请求、攻防交给专业团队
4、数据安全存储,请求加签、自身防篡改
漏洞
传言往往比事实更可怕
一个严重的漏洞禁用媒体炒作放大
4个安全领域
1、数据安全:存储、传输、使用
2、组件安全:暴露接口的问题最多
3、代码安全
4、业务安全:通用+行业相关
自动扫描器:静态扫描+动态扫描
人工审计:标准流程+经验积累,资源有限,全民皆兵
安全培训:星火传承,有意识,才能解决问题
木马
建立强大的云端扫描系统
项目:无量尺
客户端环境监测+云端业务控制
钱盾/无量尺SDk