常见的第三方加固方案官网介绍
由于安卓APP是基于Java的,所以极容易被破解,一个不经过加固的APP犹如裸奔一样,毫无防备。之前曾有新闻报道,一些专职的APP打包黑产就是专门从各种渠道找到apk,通过各种破解手段将apk文件破解、反编译,然后加入广告、病毒代码,重新打包投入市场,不明真相的用户将带病毒广告的apk下载下来,甚至因此造成利益损失。
对于移动应用开发工程师来说,应用自动化加固无疑是最便捷的一种安全方式了。通过加固可以在一定程度上达到反编译和防止被二次打包的效果。当然,现在网上很多平台都提供加固服务包括bat在内。加固原理差不多,但是加固强度和兼容性上还是有很大差别的。
360加固保【个人选择】
为应用提供安全可靠的保护及服务,技术领先、兼容性强、服务稳定
保护设备:1,000,000,000+
服务应用:800,000+
加固服务:7,000,000+
360加固保介绍
- 360加固保是为移动应用安全提供专业保护的平台,盗版APP通常是将正版APP进行破解、篡改后重新打包生成的应用。如果手机APP能够具备防反编译、防反破解能力,就可以有效的防止APP被盗版。
- 360加固保专为开发者的应用提供免费安全加固服务,独创了多重防护方式,对应用程序深度加密处理;独有的程序文字信息加密功能,能有效防止应用被反编译和恶意篡改,保护应用不被二次打包,保护数据信息不会被黑客窃取。开发者无需任何开发成本,一键上传,即可在5分钟内完成应用加固,从而彻底防止应用在上线后被反编译、调试、破解、二次打包和内存截取等多种威胁。给予官方应用最强保护,从源头消灭恶意盗版应用,保护开发者收入。
- 360加固保在为APP提供加固服务的同时,还为开发者提供APP数据分析、崩溃日志分析、盗版监测和漏洞扫描等服务,全方位帮助开发者了解数据健康与运行状况。截止2015年第二季度,已使用360加固保的应用达30万,应用所覆盖的用户超过10亿,360加固保已经成为国内最大的移动应用保护平台。
360加固保特点
- 加固零成本:线上加固,无开发成本,一键拥有顶级安全保护
- 应用零风险:防止应用被二次打包、恶意篡改、内存截取等风险
- 大小零增加:独创隐形压缩技术,加固后文件大小零增加
- 使用零影响:完美兼容各版本安卓系统,对应用功能、性能零影响
- 安装启动更快速:提高应用安装速度,ART模式下启动更快速
360加固保功能:
- 反篡改:通过签名校验,有效避免应用被二次打包,杜绝盗版应用
- 反窃取:对内存数据进行变换处理和动态跟踪,防止内存数据被修改和获取
- 反逆向:进行代码加密压缩,防止还原真实代码逻辑,避免应用被复制
- 反调试:多重手段防止代码注入,避免外挂、木马或窃取账号密码等恶意行为
提供的服务
1、安全开发:提供针对性的安全建议,培养安全开发意识,为应用做好第一道防护
- 安全扫描:提供全面高效的APP体检,准确定位安全问题,解析风险原理,估计风险可能的影响
- 修复建议:根据扫描结果,有针对性地提供修复建议,帮助开发者有效提升程序的安全性,做到安全开发
2、安全护航:加固,应用上线前的外部安全保障
- 应用加固:加固保为移动应用提供专业安全的保护,可防止应用被逆向分析、反编译、二次打包,防止嵌入各类病毒、木马等恶意代码及低俗广告,从源头保护数据安全和开发者利益
- iOS加固:加固保的iOS加固产品旨在为广大的iOS软件开发者以及厂商提供针对软件产品的源码级的反破解、反逆向、反黑客保护
- SDK加固:加固保为SDK提供全方位的安全保护,加固强度高,有效对抗多种反编译逆向工具,防止SDK被破解剽窃,提升SDK安全等级。
3、安全追踪:根据监控应用问题及风险,评估反馈应用的线上安全及运营问题
- 盗版监测:全面覆盖国内外各大安卓应用市场,全方位、高精准识别盗版 APP,实时帮助开发者发现盗版 APP,识别盗版特征,精准计算盗版影响
- 崩溃日志:全面监控 Java 层和 Native 层崩溃,实时掌握应用的崩溃情况,帮助开发者对问题进行定位和还原
- 数据分析:零开发成本洞悉应用线上运营数据,帮助开发者方便快捷掌握应用线上效果及问题
使用步骤:
1、注册登录【[email protected]】
2、配置
- 点击配置信息-->签名配置:勾选启用自动签名,选择签名文件,输入密码、别名密码,点击添加,然后选择其中一个作为默认签名
- 点击配置信息-->多渠道配置:勾选启用多渠道打包,可以设置统计平台、增删改渠道信息,启用关闭渠道,加固包输入目录
- 点击配置信息-->加固选项:可设置是否启用增强服务,如崩溃日志分析,支持X86,升级通知,消息推送,签名校验等
3、加固
- 正常打包:可以打任何签名的debug包或release包,不管用那个签名打的包,加固后都还会用你配置的签名重新打包
- 点击加固应用:选择安装包,然后就会把你的安装包上传到服务器加固,加固完成后会自动下载到你指定的目录(一键加固)
4、除了上述一键加固功能,工具还提供了另外三个小功能:制作签名、给APK签名、多渠道打包,另外还提供了安全扫描的功能。
爱加密
安全加固,一键Get,专业、高效、便捷的移动应用安全解决方案
50万开发者的安全首选,为100多万款APP提供安全服务,累计覆盖9亿移动终端
爱加密是全球专业的移动信息安全综合服务商,为企业提供涵盖安全培训、合规咨询、安全检测、安全加固、威胁感知、安全管理、服务端安全、数据防泄漏等一整套覆盖周期流程的解决方案体系。爱加密有效保护移动应用安全,为移动金融、电力、物联网、政企、运营商,手游等行业提供完善可靠的安全服务。
服务体系:
- 安全培训:提供针对企业移动业务安全开发,安全平台维护及应用安全风险分析和防护相关定制化培训。
- 合规咨询:协助用户完成安全等级保护需求、搭建ISO27001等信息安全管理体系框架,并进行风险评估和安全咨询,实现企业安全信息合规要求。
- 安全检测:通过强大的安全分析引擎及安全漏洞检测规则,全面挖掘系统源代码、移动应用、服务器及Web应用中存在的安全漏洞、性能缺陷、编码缺陷等问题,有效避免因安全漏洞导致的安全事故及风险。
- 安全加固:为企业移动应用业务提供全面的加固防护技术。
- 安全感知:监控移动应用相关风险,提供实时威胁数据监测与风险预警。
- 安全管理:可扩展的企业移动应用生命周期安全管理平台,以移动应用的深入检测和分析为入口,为用户提供全面的安全风险信息展现和治理能力,辅助用户对安全风险进行跟踪处理,同时对有安全风险的应用进行安全加固。
- 服务端安全:应用层深度防御,支持全透明直连部署,“源码级”深度防护,防御应用内未知漏洞和风险。
- DLP产品:网络监控、网络保护、数据发现、邮件保护、终端保护五大功能模块融合,通过管理平台统一制定数据安全策略,实现敏感数据全IT环境、全生命周期的安全防护。
十大核心安全产品:
- 源代码审计:覆盖主流开发语言,提供详细整改建议
- 安全检测:Android/iOS应用自动静动态安全风险检测
- 安全加固:Android/iOS/H5/SDK/SO库加固
- 漏洞分析培训:针对企业移动业务潜在风险与漏洞提供咨询方案与安全培训
- 安全信息等级保护咨询:提供企业安全信息等级保护建设咨询服务与规划设计方案:Web端渗透测试服务:Web漏洞扫描与风险分析
- iData智能数据平台:深度数据分析实现持续智能运营
- 移动安全运营平台:可扩展的企业移动应用生命周期安全管理平台
- 安全大数据平台:构建移动应用智能安全监测体系
- 数据防泄漏:统一的数据安全策略,实现敏感数据全IT环境安全防护
应用场景:
- 金融解决方案:针对移动互联网时代的金融业务面临的安全漏洞和风险,为手机银行、手机理财、移动支付等移动金融业务提供一整套稳定、可靠的解决方案,保证移动应用的合规性和安全性。
- 政企解决方案:为政企行业移动应用提供安全保障,保证政企机构敏感数据的安全性,促进政企移动信息化建设的规范性和安全性,助力政企机构移动信息化的安全发展,提高政企运营效率。
- 运营商解决方案:针对运营商数据流量大、隐私性强,用户量大,稳定性要求高等特点,有针对性的制定移动应用安全解决方案,全方位保证其应用安全、数据安全和网络安全。
- IoT解决方案:“Internet of things 物联网,针对IoT行业发展速度快、业务场景复杂等情况,形成贴合IoT实际场景的安全解决方案,适应IoT“云、管、端”的基础架构,全面保护其终端安全、平台安全、应用安全和通信安全。
- 互联网解决方案:移动互联网比传统互联网涉及的业务更加广泛、使用场景更加多样、采用技术更加复杂,结合业务逻辑和技术特点,给出契合的安全防护方案,使移动互联网畅通无阻。
- 游戏解决方案:针对游戏行业外挂类、模拟器类、数据盗取和修改类的安全风险进行防护,保证厂商和玩家利益;同时满足游戏包体无损压缩需求,提升玩家体验和用户粘性,使手机游戏得到更好的运营。
优势:
- 技术优势:行业领先的六代安全技术,为客户提供的所有解决方案技术均为行业最优
- 产品优势:完整的安全生态体系,提供事前防护能力、安全威胁大数据分析和预测能力,赋能予用户
- 性能最优:支持最新安卓8.0系统,机型兼容性高达99%,内存损耗控制在3%以内,包体增量±5%
- 服务承诺:快速服务响应承诺、系统的技术知识转移方案、完善的售后服务
- 市场验证:2000多家行业客户的信任,50万开发者的选择,积累了业内丰富的安全保护经验
- 权威认证:拥有近30项公司及产品资质、10多项专利,服务能力被公安部等保测评等诸多权威机构认可
娜迦
国内唯一 native 层加密技术,独创DIS融合SO保护技术。
NAGA娜迦信息专注移动应用安全解决方案与开发者服务,为移动领域的金融、电子商务、游戏娱乐应用提供Android/iOS平台客户端安全服务,覆盖Android/iOS应用生命周期的安全保护服务。
移动应用安全保护体系:
- 研发阶段:安全键盘SDK、数据库保护SDK、缓存文件保护SDK、防模拟器SDK、通讯加固SDK、APP运行环境监测、敏感信息隔离沙箱、安全编译器
- 运营阶段:实时攻防安全服务、应急响应服务
- 安全合规阶段:安全检测服务、 VMP加固、Unity3D加固、H5加密、敏感信息跟踪检测
- 运维阶段:渠道监控服务(7*24小时高效防御APP在渠道分发遇到的风险)
应用场景:
- 移动金融:对金融应用源码加密和应用包加壳,防止APP被反编译、被破解的风险,避免账号密码泄漏,保护用户资金安全。
- 移动游戏:提供对APK包中的unity3d的资源文件版本号进行篡改加密保护,防止黑客进行恶意攻击,篡改游戏内置数据。
- 视频媒体:提供高强度的源代码加密方案,避免APP被破解、被二次打包,防止付费资源被盗取、广告被拦截等恶意行为的发生。
- 政企单位:提供有针对性的移动安全解决方案,对应用进行安全评估、加壳等防护策略。
核心优势
- 专业技术的团队,10年+技术大牛:从事移动安全领域平均10年以上的技术大牛,专业团队保障你的移动应用安全
- 成熟的产品体系,开发上线—运营:提供从应用开发到上线运营的相关产品,满足用户各个阶段的需求
- 国内权威认证,中国信息安全认证:国家信息安全技术联盟成员,国家信息安全测评中心合作伙伴,国家发改委信息安全专项承接单位
- 全方位服务体系,快速响应处理:积累丰富的线上线下服务经验,为用户提供专业及时的产品服务
梆梆
提供的服务:
1、移动应用安全加固
针对目前移动应用普遍存在的破解、篡改、盗版、钓鱼欺诈、内存调试、数据窃取等各类安全风险,梆梆安全为开发者提供全面的移动应用加固加密技术和攻击防范服务
核心加固技术:
- 防逆向(Anti-RE):抽取classes.dex中的所有代码,剥离敏感函数功能,混淆关键逻辑代码,整体文件深度加密加壳,防止通过apktool,dex2jar,JEB等静态工具来查看应用的Java层代码,防止通过IDA,readelf等工具对so里面的逻辑进行分析,保护native代码。
- 防篡改(Anti-tamper):每个代码文件、资源文件、配置文件都会分配唯一识别指纹,替换任何一个文件,将会导致应用无法运行,存档替换、病毒广告植入、内购破解、功能屏蔽等恶意行为将无法实施。
- 防调试(Anti-debug):多重加密技术防止代码注入,彻底屏蔽游戏外挂、应用辅助工具,避免钓鱼攻击、交易劫持、数据修改等调试行为。
- 防窃取(Storage Encryption):支持存储数据加密,提供输入键盘保护、通讯协议加密、内存数据变换、异常进程动态跟踪等安防技术,有效防止针对应用动、静态数据的捕获、劫持和篡改。
2、移动应用源代码加固
未经混淆的源代码受到攻击后,易暴露程序中关键算法、核心业务逻辑、数据结构和模块的控制流布局等敏感内容
鉴于源代码的超低风险抵抗能力,梆梆安全推出了了面向Android ndk工程、Android gradle工程、iOS工程的源代码安全保护系统。
主要功能:
- 控制流平坦化 在保证不改变源代码功能的前提下,将C、C++、Objective-C等语言中的if、while、for、do等控制语句转化为switch分支选择语句。
- 插入各种花指令:插入各种不会被执行的无效字节码到源码文件中,使逆向分析工具进行字节码解析时崩溃。
- 控制流变换:对于跳转控制条件和分支语句,在保持原程序逻辑关系的前提下,随机确定控制块的执行顺序,达到模糊程序控制逻辑、隐藏程序控制流的目的。
- 代码完整性校验:在混淆源码时植入check因子,在程序执行时校验同因子映射对应的代码,保证代码执行时的完整性。
- 源对源混淆:自主研发的高强度混淆技术,代码混淆结果立即可看,不用担心使用网上开源工具不清楚混淆结果是否有效的问题。
3、安全密钥白盒
目前使用的基于Key的AES、DES、SM4等传统加密算法已不再安全,攻击者通过控制软件的运行环境(如CPU、内存、寄存器等)实现对密钥的白盒攻击、破解。
为解决在不直接暴露任何密钥或数据的前提下实现对数据加解密,梆梆安全推出密钥白盒加密保护技术,从根本上防护针对密钥的白盒攻击行为。
梆梆安全密钥白盒加密技术:
- Lookup table转换:将密钥转换为大量的Lookup table,构造复杂庞大的结构化查找表系统。
- 随机双射编码:应用随机化、非线性化操作,对查找表进行随机双射编码,隐藏相关内容。
- 算法边界扩展:将加密算法边界由算法本身扩展到整个程序,实现对密钥的隐藏。
- 内外混编:采用外部编码加内部编码混合方式,对查找表进行隐藏、混淆和扩散。
- 多层防护措施:采用多种安全技术集成,增强对密钥白盒环境下非法调用、注入、内存修改的防护。
4、安全软键盘SDK
全流程、多层次、立体化保护信息数据输入安全
基于键盘输入数据的各类信息窃取攻击非常普遍,大量敏感数据被通过App键盘录入移动互联网中,黑客们通过反编译这些流行应用,将键盘钩子(监控程序)捆绑嵌入其中,以监控、窃取用户通过键盘输入的各项数据。
针对以上信息泄露的风险,梆梆安全推出了安全软键盘SDK,全面保护信息输入安全。从底层、启动前、输入时、输入后等多个维度进行输入数据保护。
梆梆安全提供的随机分布式虚拟安全键盘,对键盘的数据输入过程、数据存储过程、内存数据换算过程进行全程高级加密,可有效防止数据侦听、键盘劫持、键盘截屏等攻击行为。
■ 密码在内存中全程加密存储:采用高强度的组合加密算法和机制,对安全键盘输入的信息在全流程实施加密,不留下风险空当。
■ 防截屏攻击:对截屏攻击进行防御,不回显输入信息。
■ 防止从底层获取密码:通过随机布局键盘,防止被底层分析输入节点进而获取密码。
■ 防止底层dump内存读取密码: 对于底层的内存dump做了有效防护,防止被dump出内存密码的明文拷贝等风险。
■ 防输入日志泄露:对输入输出的日志进行保护,防止输出信息打印出明文密码帐户信息。
■ 密码so文件加壳保护: 在so文件中保存密钥,并对so文件高强度加壳。
■ 病毒扫描:系统调用安全软键盘时,进行病毒扫描、环境清场。
■ 依托加固的安全键盘自我保护:辅助App加固服务,防止安全键盘被去除或绕过,从外层对安全键盘形成加壳保护。
5、防界面劫持SDK
利用仿冒的界面覆盖、替换App原界面来进行钓鱼欺诈,正在成为一种流行的App恶意攻击方式,即界面劫持攻击。
梆梆安全防界面劫持SDK,根据App当前界面视图焦点的变化,捕获当前恶意程序的攻击行为,提醒用户安全风险,有效降低移动App敏感信息被窃取风险。
主要功能特点:
■ Activity实时监测拦截
■ Windows实时监测拦截
■ 键盘行为监测及数据分析
■ 仿冒界面风险提示
■ 防误判白名单
......还有一堆堆的服务
提供的移动应用保护服务:
- 防逆向保护:以加密代码的方式阻止反编译,从而防止被窃取代码和创意
- 防篡改保护:通过对app的完整性保护,防止app被篡改或者盗版
- 反调试保护:阻止应用运行中被动态注入,防止被外挂,木马偷窃账号密码,修改交易金额等
- 存储数据加密保护:更底层,跨文件格式的数据加密,防止应用数据被窃取
- 环境监测和保护:云监测设备环境,防止盗版应用,恶意应用的钓鱼攻击
通付盾
通付盾是国内领先的信息科技公司,聚焦网络安全、 人工智能和区块链技术,为金融等机构提供信任基础服务。
产品服务:
1、金融科技
- 设备行为分析:入网设备虚拟空间“身份证”
- 风险监测平台:跨行业、多场景欺诈风险预警
- 信贷生命周期:全流程的信贷风控解决方案
- 信用认证平台:完善信用认证体系 一站式服务
- 风险信息共享:共享信贷机构借贷信息和黑名单
- 多因子身份认证:移动在线身份认证解决策略
- 远程实名认证:实现移动端远程精准实名认证
- 智能加密短信:对短信验证码进行加密和校验
2、网络安全
- Android检测:动静双擎 安全漏洞全覆盖
- Android加固:提供移动应用程序全方位加固
- 渠道应用监测:全局视角 追本溯源
- 终端威胁感知:威胁感知 风险预警
- 风险评估:全方位无死角安全体检
- 渗透测试:领先黑客不止一两步
- 反病毒引擎:恶意代码高精度智能检测
- 防界面劫持SDK:防御界面钓鱼 降低泄露风险
3、区块链
- 铠链:可信的数字身份区块链
- 盾分:基于铠链的数字身份凭证
核心优势:
- 专业的技术团队:平均项目经验10年以上的项目大牛,必须专业
- 成熟的产品体系:深厚的技术基础,过硬的产品质量,灵活的产品选择
- 完善的服务体系:服务体系成熟完善,以满足客户需求为使命
- 雄厚的经验积累:跨行业实战经验丰富,厚积薄发
解决方案:
- 政府企业解决方案:基于动静双擎检测、VMP加固等先进的移动安全技术和海量移动应用数据,为政府和监管机构提供APP检测与加固、终端威胁感知、渠道应用监测等安全解决方案
- 银行业解决方案:针对银行存在的诈骗转账、银行卡盗刷及洗钱等风险, 提供转账和支付安全、账号保护、应用保护等安全解决方案,全面提升银行机构的安全能力
- 互联网金融解决方案:坚持“联防联控”理念,建立精准反欺诈风控模型, 提供贷前审核、贷中监控、贷后预警等全业务流程风险防控,帮助信贷机构降低风险、减少资金损失
- 支付行业解决方案:基于海量跨行业风险数据,采用领先的多因子身份认 证和移动安全技术,帮助解决盗刷、套现 、账号盗用、支付欺诈等安全问题,保护网络支付安全
- 电子商务解决方案:依托海量风险数据和强大的机器学习技术,为电商平台 量身打造精准风控模型,解决薅羊毛、虚假交易、恶意下单、库存绑架等欺诈问题,保障交易安全
阿里聚安全
如果是认证用户可以选择已有的应用或者上传新应用直接开始加固,操作过程很顺畅。加固中会提示先给应用进行恶意代码检测,这点挺人性化的。加固后将文件下载下来再次签名即可发布。另外还有在线多渠道加固可以选择,这个功能比较适合发布渠道多的用户。
移动安全:专注应用开发安全
- 安全扫描:快速扫描APP漏洞、恶意代码以及仿冒应用
- 应用组件:防止被攻击、信息泄漏、客户端请求伪造
- 应用加固:提升安全等级,防止应用被逆向破解
- 实时监控:全生命周期实时量化评估风险状况
- 安全审计:提供设计评审、渗透测试、应急响应等业务
腾讯云应用乐固
腾讯云的加固上传应用后默认选择了加固,漏洞检测还有渠道监控。可选项是适配分析,限量每天一次。
加固前后指标对比
加固等待时间对比
最快的是阿里聚安全,16MB的应用加固用时27秒,而通付盾最久用时3分08秒。当然时间的差别除了和加固引擎不一样之外,也可能是加固强度和加固项目有关。
360加固保 | 阿里聚安全 | 腾讯应用乐固 | 梆梆安全 | 通付盾 |
1分20秒 | 35秒 | 1分1秒 | 2分14秒 | 3分8秒 |
加固前后体积对比
阿里聚安全的加固反而使应用包变小1MB,其他的几个则都出现了0-0.8MB的浮动。
加固前 | 360加固保 | 阿里聚安全 | 腾讯应用乐固 | 梆梆安全 | 通付盾 |
16MB | 16MB | 15MB | 17MB | 16.5MB | 16.8MB |
加固前后首次启动速度对比
一般来说加固后首次启动速度会略微受到一点影响,但是第二次启动就会正常。通过第三方兼容性测试testin的测试,这五个平台输出的应用签名后兼容性相差不大。这次采用的是覆盖100台主流手机的测试,检测结果如下:
加固前 | 360加固保 | 阿里聚安全 | 腾讯应用乐固 | 梆梆安全 | 通付盾 |
2.52秒 | 1.77秒 | 5.02秒 | 3.48秒 | 5.57秒 | 3.82秒 |
除了360加固,其他4各平台加固后启动速度比加固前要慢。其中对速度影响最大的是梆梆安全。
加固前后兼容性对比
对于应用的兼容性也是非常重要的一项指标。通过这次的评测,可以发现测试的应用采用通付盾的加固后,兼容性出现了大幅度下降只有88%。而其他四个并没有太多的变化。
加固前 | 360加固保 | 阿里聚安全 | 腾讯应用乐固 | 梆梆安全 | 通付盾 |
100% | 99% | 100% | 100% | 99% | 88% |
总结
最后再来一个汇总的统计表格,看看这几个指标中都是哪些平台得了第一:
操作体验最好 | 加固等待时间最少 | 体积变化率最小 | 启动速度最快 | 加固后兼容性最好 |
通付盾,腾讯云 | 阿里聚安全 | 阿里聚安全 | 360加固保 | 阿里聚安全&腾讯云 |
这里要特别提一下,如果应用市场选择360开发平台的话是不允许使用其他品牌商的加固功能的,这一点体验上就会不太好。目前整个加固市场从这次的样本分析上来看也是大同小异,各位如果想选择加固产品可以重点关注加固后的兼容性还有启动速度这两个维度。
最后是想说明一下这次加固使用的都是免费版自动化加固,目前各个平台也都有提供一些API或者更高强度的加固方案。不过就目前加固技术而言,还是有方法可以对应用脱壳的,对于应用安全来讲除了加固还可以再结合其他的一些方式。比如在应用中嵌入安全组件,进行数据加密和逻辑混淆这种方式。