近期,美國“棱鏡門”爆料者愛德華·斯諾登(EdwardSnowden)的代理律師稱,出于安全考慮,斯諾登從來不用iPhone手機。爆出這句話之前,蘋果AppStore日均下載量已超過710萬,手機用戶數可想而知。人類用了短短幾年時間,卻將自己的信息安全長久的暴露在外。
即使歷史上OpenSSL也不止一次爆出像“心臟流血”(Heartbleed)這種安全漏洞,可以令諸多加密傳輸如電商、支付類接口、社交、門戶網站瞬間處于“裸奔”的明文傳輸狀態,移動用戶面臨著泄密的危險,甚至是資產的危險,非常可怕。雖然受此影響安卓App下載量也曾短時間內極速從2.2億次下降到了1.5億次。
甚至出現一種觀點,十分之一的AndroidAPP是病毒,而據某統計分析,2014年最活躍的病毒出現在支付類相關APP中,可直接給用戶帶來財產損失。
如何保障我們自身的信息安全,保障手機中的APP安全,有哪些正確姿勢呢?其實在每個APP上線之前,都應該在類似NAGAIN這種專業APP安全平臺進行APP加固保護,從源頭給APP戴好安全鎖,確保APP不被輕易破解、逆向攻擊及二次打包等,再把加固后的APP上線提供下載,這樣至少用戶在下載安裝到手機上時,是安全可靠的。
NAGAINAPP安全商城已上線1元APP加密系列產品,其中,重定位加密殼段利用系統機制,清除ELF頭。在殼還沒有運行完畢的情況下,ELF頭已經被Android系統清除了。這樣當破解者實施Dump內存攻擊時,Dump不出完整的文件。而又無法在殼中跳過清除代碼。這種復雜的APP加固方法增加了病毒攻擊的難度,也提高了不法分子下黑手的成本,有力阻礙了他們的惡意行為。
除了利用復雜和高難度的APP加密方法,針對支付類、金融類APP,還應該進行渠道監測,幫助APP開發者實時了解APP受到哪些渠道、哪些類型的惡意攻擊,做好長期APP防護的準備。
在源頭把好APP安全關,最終用戶使用手機時才更加放心,當然,面對各種不明轉賬要求、不明中獎鏈接的誘惑,千萬切勿隨手點擊,也許正潛藏著一個“心臟流血”新版本。
(新聞稿 2015-01-23)