Testin安全周报(4月24日~5月07日)发布,报告显示高危风险代码反编译连续两周持续排名第一,占比达33.33%!
Testin安全风险评估系统发布最新高危风险预警:
高危风险代码反编译连续两周持续排名第一,占比达33%。
高危风险代码反编译涉及细分领域涉及12类。排在前三的细分领域为生活服务类、购物类,金融理财。生活服务类居首。
一.具体风险解释
反编译是指通过对他人软件的目标软件(比如可执行程序)进行“逆向分析、研究”工作,以推导出他人的软件产品所使用的思路、原理、结构、算法、处理过程、运行方法等设计要素,一些情况下可直接推导出源代码,如使用Java开发的安卓apk程序,可以直接被导出源代码。
二.涉及风险危害
1. 泄露软件核心代码流程,可能被竞争对手直接窃取。
2. 黑产人员可插入恶意代码后进行二次打包,冒充原程序,进行恶意行为。
3. 源码暴露更加容易被黑产人员挖掘软件漏洞,更易受到攻击。
三.具体修复建议
1. 通过对目标DEX文件进行整体加密或压缩方式把整个dex转换为另外一个文件存放在assets文件夹中或者其它地方,然后利用类加载器技术进行内存解密并加载运行。
2. 抽取DexCode中的字节码指令后用零去填充,或者修改方法属性等操作,运行时在内存中做修正、修复等处理工作。
3. 使用第三方加固程序进行加固。
更多安全资讯与服务,请持续关注Testin 安全,面向开发、QA团队的持续渗透人工智能机器学习安全测试验证服务。
Testin是全球“一站式移动应用云测试服务”领导者,为移动应用、游戏、VR/AR、可穿戴、物联网、人工智能开发者提供必需的一站式应用测试服务和质量保证。Testin云测通过深度机器学习的人工智能自动化脚本完成移动应用在云部署真机上的功能、兼容性、回归、安全的自动化测试、真机调试、A/B测试及Bug缺陷管理,Testin众测通过遍布全球的共享测试专家对应用进行功能、用户体验、场景和可用性测试,Testin Pro自动化测试私有云集成兼容、真机调试、功能测试、性能拨测、应用及测试管理进行私有化部署。Testin目前已经持续服务超过80万开发者,为超过200万个应用进行了超过1.5亿次测试,累计3轮融资超过8000万美元,与ARM、Intel、Google、IBM、微软、阿里、腾讯、360、小米以及全球众多的移动互联网生态企业建立了良好的合作与沟通关系,先后被评为清科2014年、2015年中国最具投资价值企业50强,德勤2015年、2016年中国高科技高成长50强,Red Herring红鲱鱼2014年亚洲100强和2015年全球100强。
Testin主要产品:
Testin 云测真机自动化云测试,面向开发、QA团队,中国、北美、全球热点和高覆盖率机型的真机兼容、功能和回归测试
Testin 云测远程真机调试,面向开发团队,通过浏览器、开发工具远程连接真实终端,7×24实时操作、快速定位问题
Testin 众测,面向开发、QA团队,遍布中国、北美及全球热点地区的测试专家共享测试服务
Testin Pro私有云,面向企业开发者的一站式自动化测试服务私有云平台
Testin A/B测试,面向产品、运营团队,用科学实验和人工智能数据分析驱动产品演进的迭代测试
Testin Bugout,面向开发、QA团队Bug缺陷管理系统
Testin 安全,面向开发、QA团队的持续渗透人工智能机器学习安全测试验证
Testin AppBase,企业开发者的移动应用市场、运营、产品、研发综合基准数据库
申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!
