989
Google Play上的WhatsApp竟然是假的,我的APP会不会也是仿冒的?
导语:最近关于Google的新闻实在是有点频繁。从10月末开始到现在,Google Play的漏洞和恶意软件的感染事件层出不穷,特别是由于它的自检测系统失效,Google Play出现冒牌 WhatsApp,100多万安卓用户不幸下载。
Google Play已上线8年。但恶意软件对Google Play的感染程度远高于苹果公司的App Store。
10月20日左右,为了清除Google Play商店中的漏洞,Google向发现Android应用漏洞的安全专家们承诺,每发现一个漏洞,提供至少为1000美元奖励。
详情可点击:https://jaq.alibaba.com/community/art/show?articleid=1151
在10月末,独立的防病毒测试公司AV-TEST检查了Google的Play Protect - Google Play防病毒系统。发现它的可靠性比大多数第三方方案更低。
Google Play存在大量的恶意应用的事实确实令人担忧。事实上,Google在1月份从其软件分发平台中清除了超过25000个受感染的应用程序。
详情可点击:https://jaq.alibaba.com/community/art/show?articleid=1158
还是在10月末,谷歌bug tracker(谷歌漏洞提交平台)中存在漏洞,安全研究员可以利用该漏洞查看漏洞库中的严重漏洞。漏洞发现者AlexBirsan表示,因为攻击者可以查看漏洞库中的所有漏洞,其中包括漏洞详情,所以攻击者完全有可能已经利用漏洞库中的漏洞潜入进了谷歌内网。
详情可点击:https://jaq.alibaba.com/community/art/show?articleid=1173
11月4日,据外媒 Reddit 报道:安全研究人员 Dexter Genius 近期发现黑客利用官方 Google Play商店作为恶意软件存储仓库、部署冒牌 WhatsApp 应用。目前,已有超过 100 万的安卓用户下载使用。这似乎又是谷歌自动检测系统失败的一次例证。
详情可点击:https://jaq.alibaba.com/community/art/show?articleid=1190
11月6日,据外媒报道,来自美国马里兰大学的一个团队设计了一款自动攻击的程序,成功攻破了谷歌的reCaptcha验证码服务中的“音频验证”选项,准确率高达85%。谷歌的reCaptcha并不是第一次被攻破,看来谷歌的自动识别技术仍需要持续提高。
详情可点击:https://www.4hou.com/info/news/8317.html
虽然关于谷歌的网络安全事件层出不穷,Google Play上漏洞频现,恶意软件入侵,冒牌软件占领,自动识别技术被攻破等,给了黑产们巨大的牟取利益的空间,或许还会降低用户对谷歌的品牌信任度,但谷歌作为老牌的互联网公司,对于网络安全的问题采取的措施都是很迅速的,如漏洞奖励计划,为白帽们提供高额奖金,而爆出漏洞也会即时修复,让用户及时更新版本,效率很高,保障用户的移动端安全。
那么,对于普通企业而言,若是出现像Google Play上一样的安全漏洞,恶意代码,仿冒应用等安全风险,应该如何应对呢?
这些功能又是如何实现的呢?拿“应用加固”举例:
应用加固通过对Android应用进行重新编译、加壳保护、修改指令调用顺序等手段来增强应用反破解能力。我们的加固功能注重加固强度与兼容性并重,避免一般加固功能盲目追求加固强度导致加固后完全不可用。
应用加固核心功能包括:
·反主流静态分析工具: 能够有效的防止黑客通过APKTool,dex2jar,JEB等静态分析工具来分析应用的java层代码。
·SO加壳: 通过对SO文件进行加壳保护,能够有效的防止恶意者通过IDA,readelf等工具对SO里面的逻辑进行分析。
·DEX加壳: 通过对DEX文件进行加壳保护,以及动态运行时加载修复等技术手段,能够有效的防止黑客对java层代码的内存dump。
·常量加密: 对DEX文件中的明文常量字符串进行加密,运行时通过解密函数动态解密,增大了逆向分析的难度。
·java指令翻译: 修改java层业务逻辑的调用关系链,即便黑客得到java层的代码,也无法完整的分析整个业务逻辑。
·java模拟执行: 通过将DEX文件中的指令抽离,并使用一个自定义的执行环境进行模拟执行,能够有效防止恶意者对java层代码进行指令级别的dump。
·全量混淆:只需配置极少量的混淆规则,就可以达到80%以上的混淆率;完美兼容Proguard,可以在Proguard的基础上进行二次混淆,大大提升黑客逆向分析难度。
特别是无自主研发能力需要委托委托第三方开发的企业,在验收时无法及时发现APP的安全问题,比如无意或有意使用了恶意代码,上线后蒙受了巨大损失。首先需要对已上线的应用进行漏洞扫描,仿冒检测,恶意代码扫描,及时排查修复线上问题。在后续的新版本的验收时,使用漏洞扫描和恶意代码扫描,及时发现安全隐患。只有专业的技术才能提供企业移动应用(APP)全生命周期的安全服务,阿里聚安全的移动安全功能值得信赖。
双十一已进入倒计时阶段,阿里聚安全为回报广大企业用户和开发者们的长期支持,移动安全产品享五折优惠!
小编提醒:双十一福利多多,内容安全产品万元福利大放送哦~
最后更新:2017-11-09 10:04:04