預防駭客行動詐騙!看懂App網路資訊安全「原始碼加密」技術!
想預防成為網路駭客行動詐騙的受害者嗎?建議不妨也可以瞭解Mobile App的手機資訊安全、原始碼加密的技術。現在全球的金融App全保護通常採用傳統SDK植入方式,但被破解的案例實在層出不窮。從我們看到的案例中,利用SDK進行防護的機制,只要駭客願意花時間就容易被反編譯、找到偵測特徵就可以被修改。
現在也有許多資安廠商為了預防App行動詐騙, 也開始制定研發另外一種App安全保護方式-原始碼完整加密(Encrypt Java Code (DEX、SO))。簡單來說,就是針對APK內的核心Java code做加密(中國內地稱之為加殼)。
有使用原始碼完整加密的APK,在反編譯工具的解譯下,所有的核心原始碼都是隱藏不見的,駭客是無法透過反編譯工具看到或解析APK核心原始碼內的任何資訊(包含函數),來防止駭客做進一步的破解。
● APK網站原始碼完整加密流程示意圖
中國駭客的脫殼機破解技術,又是什麼?
雖然全球主流的App安全廠商陸續推出原始碼加密的保護方案,來提供給客戶加強App原始碼的安全性。但有新的防禦方式出現,駭客就會勇於嘗試來挑戰攻擊。
特別是中國大陸的駭客,為了證明自己能力,經過多方的嘗試開始推出了脫殼機。而脫殼機顧名思義,就是透過技術來直接拿掉保護後APK的DEX加密,將APK檔還原成沒有保護前的狀態,駭客可針對App進行反編譯達到破解的目的。
因為脫殼機的出現,加上駭客提出淺顯易懂的修改邏輯,所以市面上有一群資訊安全人員,認為App原始碼完整加密保護方式等級很低、或是認為只要一個App使用後被破解,其他使用相同保護方式的App也會被破解的觀念,用一種近乎鄙視的態度看待這樣的App安全保護技術,但事實上隨著時間的推進,安全技術也是與時俱進的!
一次瞭解App原始碼完整加密的演進
最好的礦泉水,是經過一層層天然的過濾,滲透到最底部的水稱之為精華
而最好的手機App安全技術,當然也是是經過攻擊測試,將防禦方式達到最高才是好的安全技術。
以下是筆者詳盡整理市面上主流廠商在2015~2021年,原始碼完整加密技術演進說明:
最好的白帽防禦技術,預防手機駭客攻擊!
全球至今還壟罩在Covid-19疫情的陰影下,尚未揮去陰霾,而深藏於無形間的駭客絕對沒有因為疫情的影響而停下攻擊破解的腳步,Mobile App手機的普及率之廣,更是駭客覬覦不止的肥沃草原,唯有加強資安意識和使用最新的安全技術,拉高防禦的門檻,才能將抵禦駭客攻擊將風險杜絕於外。
雲力橘子的資安團隊,擁有廣大App白帽測試工具和經驗,能快速地透過建議修補的方式,來協助企業主的App安全提升到一定的安全程度,為客戶打造App安全的天際線,是雲力橘子用心刻劃的信念。
延伸閱讀:
手機被駭怎麼辦?5分鐘一次教你破解Mobile App駭客攻擊手法!
支付、網銀金融App安全嗎?你必知的白帽App資安漏洞分析!
App手機行動裝置的Xposed軟件攻擊模式,該如何防禦網路資安?