今天小編分享的互聯網經驗:鴻蒙應用安全新紀元:移動應用加固技術發展趨勢洞察,歡迎閱讀。
數智時代發展瞬息萬變。把握新趨勢、防範新風險、迎接新變革,将成為 2025 年各行各業的願景與使命。《網絡安全和信息化》雜志和 IT 運維網聯合推出 " 一年一等待—— 2024 企業數智化轉型實踐成果 ",面向新型信息基礎設施、數字安全、IT 運維、人工智能四大領網域,圍繞產業觀察、產業趨勢、廠商解決方案和案例,匯集成冊,推薦給廣大行業企業用戶。
趨勢洞察
鴻蒙應用安全新紀元:移動應用加固技術發展趨勢洞察
作者:
北京梆梆安全科技有限公司 CTO 陳彪
鴻蒙系統作為國產作業系統的代表,正以迅猛之勢拓展其市場版圖,構建起龐大的應用生态。随着應用數量的爆發式增長,移動應用安全成為鴻蒙系統不容忽視的關鍵環節。在網絡安全形勢日益嚴峻的當下,未加固的應用極易成為黑客攻擊目标。惡意分子可輕易篡改應用代碼,植入惡意程式,竊取用戶的賬号密碼、支付信息等重要數據,這不僅會讓用戶遭受經濟損失,還嚴重侵犯個人隐私。市場分析表明,未來,移動應用安全将更加注重代碼加固、運行環境檢測以及動态防護能力的提升。這一趨勢不僅反映了市場對應用安全的高度重視,也為安全產品的技術演進指明了方向。
鴻蒙移動應用安全問題
1.HarmonyOS 全球第三大智能作業系統
2024 年 6 月 21 日,華為召開開發者大會(HDC.2024),發布全場景智能作業系統 HarmonyOS NEXT Bate 版。該系統版本采用全新鴻蒙内核,系統性能全方位優化提升,相比 HarmonyOS 性能提升 30%,同時功耗下降了 20% 。鴻蒙生态設備數量已超過 9 億,開發者人數超過 254 萬,包括淘寶、支付寶、美團、銀聯、建設銀行、招商銀行等超過 5000 款主流應用加入鴻蒙原生應用生态。
2. 鴻蒙應用面臨的安全風險在快速上升
盡管鴻蒙應用的發布有着嚴格審核、上架流程,并且只能在華為商店内下載和安裝。但随着鴻蒙系統的高速發展,鴻蒙應用承載了越來越多的各種業務,大量開發者和用戶加入鴻蒙生态,這也将導致針對鴻蒙應用的黑客攻擊越來越多。僅僅依靠華為的上架審核,鴻蒙應用開發企業将面臨較高的核心代碼洩露、知識產權洩漏等安全風險。
3. 移動應用的強監管
随着近幾年國家對網絡安全的重視,從國家部門到行業監管機構,以及企業内部的信息安全部門,都建立了移動應用安全的各類檢查、測評方法,開發者需要通過相關的應用安全測評,才能進行市場發布。包括鴻蒙、Android、iOS 等移動應用都在監管審查範圍内。而随着應用開發者需要支持更多作業系統的移動應用開發,他們也更加沒有時間、精力、技術去解決移動應用安全建設的問題。例如,移動應用需要具備防止代碼被逆向破解、防止基于調試工具的内存調試;代碼内的明文字元串信息需要加密隐藏保護,數據檔案不能夠被非法讀取和篡改;TS 代碼檔案需要加密保護;SO 代碼檔案需要加密保護;移動應用需要具備防界面截屏錄屏保護等。
4. 鴻蒙應用的常見安全問題
敏感信息洩露。鴻蒙應用敏感信息洩露漏洞可能因權限管理不當、數據傳輸不安全或應用内部漏洞而導致用戶隐私數據被竊取。攻擊者利用這些漏洞,可以獲取用戶的地理位置、通訊錄、短信等敏感信息,進而造成用戶财產損失和隐私洩露。使用 App 的敏感數據包括但不限于口令、密鑰、證書、會話标識、License、隐私數據(如短消息的内容)、授權憑據、個人數據(如姓名、住址、電話等)等,在程式檔案、配置檔案、日志檔案、備份檔案及數據庫中都有可能包含敏感數據。
明文傳輸核心業務數據洩漏。鴻蒙 NEXT 應用在某些情況下可能存在明文傳輸核心業務數據的安全漏洞,這意味着敏感數據(如用戶個人信息、交易記錄等)在傳輸過程中未進行加密處理,容易被第三方截獲和濫用。此漏洞一旦被惡意攻擊者利用,将嚴重威脅用戶的數據安全和隐私保護,可能導致用戶敏感信息洩露、财產損失等嚴重後果,同時,也可能對鴻蒙 NEXT 應用及華為的品牌聲譽造成負面影響。
篡改及二次打包漏洞。鴻蒙 NEXT 應用面臨的篡改及二次打包漏洞指的是惡意攻擊者對應用進行逆向工程,修改其代碼或資源,然後重新打包并分發,可能導致惡意功能被植入應用中。這種漏洞會破壞應用的完整性,使得用戶可能在不知情的情況下下載并安裝了被篡改的版本,從而面臨隐私洩露、數據損壞或安全攻擊的風險。
輸入及傳輸數據洩露風險。鴻蒙 NEXT 應用在處理輸入數據時,如果未對鍵盤輸入進行安全防護,可能會面臨鍵盤記錄器等惡意軟體的威脅,導致敏感信息如密碼和個人信息被非法抓取和分析。傳輸數據洩漏風險指的是應用在傳輸過程中如果沒有采用加密措施,攻擊者可能通過中間人攻擊等手段截獲、監聽和篡改應用的通信數據,造成數據洩露或被惡意利用。
鴻蒙移動應用安全建設
梆梆安全作為率先與華為開展鴻蒙 NEXT 應用新鴻蒙應用加固技術研發的安全廠商,支持為鴻蒙應用提供 ArkTS、标準 TS、C/C++、SO 等代碼的深度混淆加固保護及運行環境風險識别和阻斷能力,防止核心代碼洩露,保護鴻蒙 NEXT 應用安全。
梆梆安全鴻蒙應用加固產品,是基于梆梆安全 " 源到源 " 加固保護技術自主研發的全新鴻蒙應用加固產品,專門為 HarmonyOS NEXT App 提供全面的代碼防逆向、防分析、防竊取等安全保護服務,充分保護企業開發新鴻蒙應用的核心代碼安全。主要保護效果和價值如下:
1.ArkTS 代碼加固保護
通過核心算法對 ArkTS 代碼進行控制流混淆、虛假控制流、字元串加密、表達式混淆、常量混淆、變量混淆、多樣化混淆等安全加固處理,提供全方位保護,極大提升 ArkTS 代碼對抗靜态逆向破解能力,讓被逆向的代碼無法被理解。
2.C/C++ 代碼加固保護
通過核心算法對 C/C++ 代碼進行控制流平坦化混淆、基本塊切割、不透明謂詞、偽造控制流、字元串加密、指令替換、多樣化混淆等安全加固處理,提供全方位保護,極大提升 C/C++ 代碼對抗靜态逆向破解能力,讓被逆向的代碼無法被理解。
3.SO 檔案加固保護
為 SO 二進制檔案提供加殼保護能力,保護鴻蒙應用軟體核心知識產權安全。
4. 運行環境安全保護
為鴻蒙 NEXT 應用提供運行環境風險檢測識别能力,可以防止在不安全的 OpenHarmony 系統、模拟器等環境中運行,防止被動态調試分析、截屏錄屏、螢幕共享、網絡代理等攻擊行為,全面保障應用運行時的安全。
結語
随着鴻蒙系統的不斷演進,梆梆安全應用加固技術也在持續創新。通過代碼加固、安全 SDK 能力開發及實時檢測 & 監測技術的精進,深度适配鴻蒙各版本系列手機,确保應用安全性與兼容性。這一趨勢不僅提升了鴻蒙應用的安全防線,也滿足了華為應用商店的嚴格審核标準,為鴻蒙生态的安全未來奠定了堅實基礎。
