本文由  网易云发布。

1月20日,“走进网易:移动测试与安全实践”公开活动在杭州西湖区颐高创业大厦4F楼友会创业咖啡厅举行。本次活动的议题聚焦在如何实现应用的高效开发、安全过检、开发功耗降到最低等热门话题。

现场多位来自网易、华为的技术专家分享了他们工作中的相关经验和技术实践。其中网易资深安全开发工程师朱星星带来了主题为《安卓App安全过检实践》的干货分享,他认为工信部对移动APP应用安全过检要求日益增多,这导致很多开发者会碰到上架被拒的尴尬。所以他建议技术开发者们在开发移动APP时,最应小心以下常见的容易被检测方驳回10大的检测项。

网易资深安全开发工程师朱星星分享现场

1.程序代码安全

“很多人可能认为这一项技术含量并不大,其实这项在APP上线时,检测方是有一些要求的”,朱星星认为,在APP上线时,开发者最好准备相关的《法律声明及隐私政策》、申请用户权限的调用系统说明,以及标注使用怎么样的SDK收集用户数据及收集用户数据的用途,这些都是硬性要求。

2.程序代码防护

程序代码防护是检测方判断代码保护基本强度的项目之一,这也是判断APP开发者是否有安全开发意识的标准之一。业界最常见的程序代码防护有以下几种——客户端APP采用代码混淆技术,增加能够防止第三方逆向工具进行逆向反编译,使用加固、防篡改机制、防二次打包等技术。

3.密码与安全策略

这一问题在金融类APP非常常见,开发者往往需要考虑的是用户在输入账号密码时会不会被第三方记录截屏。“我们在帮助客户解决这一个问题时,建议客户一定要有一个防键盘记录SDK,这样用户每次打开键盘字幕排序是不一样的,APP也能更安全更容易过检”,朱星星说。

网易云安全(易盾)安全键盘

4.权限与界面安全

在移动互联网时代,黑客的攻击方式越来越多样化,伪造用户登录页面窃取用户信息就是其中一种。在APP过检测试时,检测方会有提供同样的虚假的登录页面来检测APP是否有防范意识,这就需要开发者适当的在APP中给用户一些警示信息,提示登录或关键界面已被覆盖的警示信息。

5.动态调试

动态调试技术在软件逆向工程领域也是一个很热门的概念,它是指破解者利用调试器跟踪软件的运行,寻求破解的途径。朱星星表示:“面对破解者的动态调试,我们可以采取对APP进行加固的方案,防止APP被动态调试”。

6.SO注入

SO注入也是比较常见的黑客入侵手段,在安卓APP过检中是必测项。据朱星星介绍,一般来说有三个方案可以解决这一问题——修改linker中的dlopen函数,防止第三方SO加载;定时检测应用加载的第三方so库,如果发现是被注入的SO,则卸载加载的SO;对被测系统进行加固,防止被测系统被动态注入第三方SO。

7.内存数据保护

如何保护自己的程序不被其他程序读取或改写内存一直是技术开发者们需要解决的重要问题。在朱星星的分享中,他提到防内存被第三方程序读写。“我们监控/proc/pid/mem、/proc/tid/mem等文件的读写操作,当这些文件被第三方程序访问时,触发设置的回调函数,并配合防注入、防调试等方法,最终实现防内存修改。”

8.隐私与储存数据

技术开发者的代码文档如果使用明文存储,很容易出问题。“事实上,不管APP有无其他问题,检测方如果检测到APP里有明文存储,则一定会被打回来”,朱星星在解释该问题重要性时告诫开发者,在开发阶段一定要注意xml、db文件是否存在明文存储的问题。

9.日志信息泄露

在移动APP的开发过程中,日志信息的安全是非常值得关注的问题。日志信息泄露,主要是防止打印的log容易被破解者作为分析的切入点,分析到app的执行逻辑等。除了静态代码不能出现log的调用之外,动态运行时也不能输出日志信息。

10.通信与数据安全

在全球新一轮新技术革命的冲击下,用户的生活方式越来越依赖于线上应用,以致于通信数据正呈爆发式的增长。但令人担忧的是,线上数据的大量聚集增加了数据泄密的可能,导致信息安全面临威胁。为解决这一威胁,朱星星建议的做法是对敏感数据进行加密传输,增加加密信道的安全性检测(包含中间人攻击检测等)HTTPS 通信协议等。

朱星星表示:“以上只是我们总结的最常见的容易被检测方驳回的10大APP过检项,业内还有很多其他的检测项。为避免被驳回的尴尬,开发者在APP过检前可以提前在网易云安全(易盾)自主过检,提前发现问题解决问题,缩短安全过审周期。”

关于网易云安全(易盾)

网易云安全(易盾)是网易云旗下安全云服务,提供涵盖内容安全、移动安全、业务安全和网络安全、抗DDoS服务的一站式安全服务,已为游戏、电商、社交、金融数千家企业解决安全问题。

了解 网易云 :
网易云官网:https://www.163yun.com/
新用户大礼包:https://www.163yun.com/gift
网易云社区:https://sq.163yun.com/

网易云易盾朱星星:最容易被驳回的10大APP过检项的更多相关文章

  1. 网易云易盾中标浙报反作弊服务 助力浙江新闻App健康发展

    欢迎访问网易云社区,了解更多网易技术产品运营经验. 近日,国内领先的智能业务安全平台网易云易盾和浙报传媒旗下"浙江新闻"达成合作,易盾将为浙江新闻客户端提供大数据反作弊服务,助力浙 ...

  2. 网易云易盾CTO朱浩齐:我们是如何用AI赋能内容安全?

    本文由  网易云发布. 5月19日,LiveVideoStack携手网易云易盾,共同打造了“娱乐多媒体开发应用实践”专题,帮助开发者和泛娱乐平台运营人员,提升技术能力,突破难点,拓展思路与视野. 在专 ...

  3. 工信部公示网络安全示范项目 网易云易盾“自适应DDoS攻击深度检测和防御系统”入选

    本文由  网易云发布. 工信部官网 2017年年底,经专家评审和遴选,中华人民共和国工业和信息化部(以下简称“工信部”)公示了2017年电信和互联网行业网络安全试点示范项目,网易云易盾的“自适应DDo ...

  4. 网易云易盾与A10 Networks达成战略合作 携手打造抗DDoS攻击的解决方案

    欢迎访问网易云社区,了解更多网易技术产品运营经验. 2018年9月,网易云易盾宣布,与智能和自动化网络安全解决方案提供商A10 Networks结成战略合作伙伴关系.双方将在抗DDoS攻击领域展开深入 ...

  5. 活动预告丨易盾CTO朱浩齐将出席2018 AIIA大会,分享《人工智能在内容安全的应用实践》

    本文来自网易云社区 对于很多人来讲,仿佛昨天才燃起来的人工智能之火,转眼间烧遍了各个角落,如今我们的生活中,处处渗透着人工智能.10月16日,2018年 AIIA人工智能开发者大会在苏州举办,网易云易 ...

  6. 网易云首席安全架构师谈安全新形势:DDOS两三天,游戏玩家数从几万降到几百

    本文由  网易云发布. 安全是一个永恒的话题,在业务不断云化.攻击越来越复杂的当下,互联网安全呈现了出什么样的严峻形势?对这些形势,网易云又是如何应对的? 网易云首席安全架构师沈明星 4月13日,网易 ...

  7. 网易云音乐APP分析

    网易云音乐-感受音乐的力量 你选择的产品是?  网易云音乐 为什么选择该产品作为分析? 之前用的一直是QQ音乐,但是有一天一个朋友分享了一首网易云上的音乐(顺便分享一下歌名:Drop By Drop) ...

  8. 【第二版】高仿Android网易云音乐企业级项目实战课程介绍

    这是一门付费Android项目课程,我们只做付费课程:同时也感谢大家的支持. 这一节,对本课程做一个简单介绍,以及放一些项目效果图,如果想直接查看项目视频演示,可以直接在腾讯课堂查看[高仿Androi ...

  9. 网易易盾最新一代Java2c加固究竟有什么厉害之处?

    导语:几个月前,网易易盾正式推出Java2c加固.它以独有的"静态保护"技术,使得应用程序中的代码出现"下沉",达到不可逆的效果,兼顾"冷热启动时间& ...

随机推荐

  1. Linux nmap命令详解

    nmap,也就是Network Mapper,是Linux下的网络扫描和嗅探工具包. nmap是在网络安全渗透测试中经常会用到的强大的扫描器.功能之强大,不言而喻.下面介绍一下它的几种扫描命令.具体的 ...

  2. 乘风破浪:LeetCode真题_033_Search in Rotated Sorted Array

    乘风破浪:LeetCode真题_033_Search in Rotated Sorted Array 一.前言     将传统的问题进行一些稍微的变形,这个时候我们可能无所适从了,因此还是实践出真知, ...

  3. windows最常用的快捷键(windows10 )

    windows最常用的快捷键(windows10 ) [单指点击] 单击/双击,相当于鼠标左键. [单指滑动] 控制光标移动. [单指拖动] 相当于按下鼠标左键移动鼠标. [双指点击] 菜单键,相当于 ...

  4. MyBatis 中的级联

    MyBatis 的级联分为 3 种. 1.鉴别器(discriminator):它是根据某些条件决定采用具体实现类级联的方案,比如体检表要根据性别去区分. 2.一对一(association):比如学 ...

  5. 二、git版本回退

    查看历史版本提交记录 git log git log --pretty=oneline Git用 HEAD表示当前版本 commit id(版本号),也就是最新的提交e4aa53d...43ae6f6 ...

  6. 【转】 [置顶] Android 通知栏Notification的整合 全面学习 (一个DEMO让你完全了解它)

    在Android的应用层中,涉及到很多应用框架,例如:Service框架,Activity管理机制,Broadcast机制,对话框框架,标题栏框架,状态栏框架,通知机制,ActionBar框架等等. ...

  7. 由于没有公钥,无法验证下列签名: NO_PUBKEY 54422A4B98AB5139

    gpg --keyserver pgpkeys.mit.edu --recv-key 54422A4B98AB5139 gpg -a --export 54422A4B98AB5139 | sudo ...

  8. opencv——对象计数

     思路: 1.通过形态学操作.阈值处理.距离变换等方法,使得各个轮廓分开 2.计算轮廓数量 #include <opencv2/opencv.hpp> #include <iostr ...

  9. OpenCV——图像的深度与通道数讲解

    矩阵数据类型: – CV_(S|U|F)C S = 符号整型 U = 无符号整型 F = 浮点型 E.g.: CV_8UC1 是指一个8位无符号整型单通道矩阵, CV_32FC2是指一个32位浮点型双 ...

  10. aips初步设想

    2018年5月10日星期四 目标:设计一个高并发,高性能,可扩展的现代化综合大前置机. 具备以下功能: 协议支持:http.socket.mq 报文支持:xml.json.8583 Tps:500笔/ ...