您当前的位置:   首页 > 新闻中心
移动银行应用程序的应用程序和代码强化概述
发布时间:2020-03-17 09:36:22   阅读次数:

移动银行应用程序的应用程序和代码强化概述(图1)

应用程序强化通常包括处理一个已经开发的应用程序,并对其进行转换,以使其难以/不可能进行反向工程和篡改。

通常将其与安全编码(代码强化)结合使用,以便尽可能减少攻击面。有一些技术可以衡量应用程序的攻击面。 


被动应用强化

被动强化的目标是基于静态分析(尤其是反编译)的攻击。这些技术主要使用混淆。目的是使即使将其转换为伪代码,也很难将应用程序转换为易于理解的代码。这不会改变应用程序本身的逻辑和行为。  


主动应用强化

在现实生活中,黑客使用的不仅仅是静态分析。他们使用动力学分析;在带有调试器和仿真器的模拟环境中运行移动应用程序。主动应用程序加固可创建运行时保护并修改应用程序的行为,以便在检测到动态分析工具时相应地对其做出响应。


此类保护通常包括: 

  • 反调试

  • 反生根/越狱

  • 防重新包装移动应用程序


代码强化

代码强化包括防止应用程序代码中的安全漏洞,以便即使可以反转应用程序,也不会利用任何缺陷。


代码强化中使用的一些基本技术如下:

  • 通过检查输入,并在可能的情况下,使用防御性编程方法(例如代码约束)来防止各种溢出。

  • 防止缓冲区溢出

  • 避免使用解释器并将数据传递给他们

  • 确保所有对系统变量的调用

  • 使用形式方法


安全可控的代码签名

代码签名是强化代码的有效方法。这样,操作系统就可以检查未修改应用程序,并且该应用程序是原始应用程序。这还可以通过检查此类应用程序补丁和升级的真实性来防止获取“恶意”更新。


对代码进行签名时,需要确保签名证书的可信与安全可控。揽阁信息推荐使用Thales的HSM安全存储GlobalSign或天威诚信的数字证书,并利用其融合性解决方案对代码进行签名。详情请与揽阁信息联系。


强化不是可选的

应用程序强化和代码强化是防止源代码被盗和应用程序被逆转的宝贵技术。在移动银行和移动支付应用程序中,这实际上不是可选的。


例如,关于知识产权保护(IP),美国国防商业秘密法 (DTSA)和欧盟指令943于2016年投票通过,明确否认将通过反向工程获得的数据视为“秘密数据”。因此,对于移动银行应用程序的所有者,没有任何法律保护可防止第三方撤消其应用程序并发布部分或全部源代码。因此,这些法律对非常强大的源代码混淆提出了新的要求。此外,PCI委员会现在需要风险控制系统来积极防止安装了银行应用程序的手机的调试和生根/越狱:


移动支付接受应用程序应得到加强,以防止意外的逻辑访问或对应用程序的篡改,例如代码注入或逆向工程。可以使用多种技术来强化移动支付接受应用程序,从而减少攻击面


关于代码固化,将PCI委员会特别建议,手机银行应用程序的开发使用安全编码技术和准则,如支付应用数据安全标准(PA-DSS)中,CERT安全编码标准,并ISECOM,OSSTMM,或OWASP安全编码文档。



揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:


您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问!


相关阅读

购买咨询电话
021-54410609