移動互聯網IT環境下APP安全管理技術研究及應用

摘? ?要：隨著我國移動互聯網、物聯網基礎設施建設的不斷升級、網絡能力的快速增長、流量資費的大幅下降及移動支付的普遍應用，APP應用程序越來越豐富。與此同時，移動互聯網IT環境下的網絡與信息安全威脅日趨嚴峻，風險威脅入口由傳統的后臺系統和設備前置到智能終端及應用層面。文章通過對基礎電信運營商的APP生產、發布、運營、下線等關鍵節點的安全技術分析，研究APP安全管模式和關鍵技術應用。

關鍵詞：APP安全;安全檢測;安全加固;安全管理;移動互聯網

中圖分類號：TP274+.2? ? ? ? ? 文獻標識碼：B

Research and Application of APP security management technology in mobile internet IT environment

Wang Fei

（China Mobile Communications Group Shanxi Co.， Ltd.， ShanxiTaiyuan 030032）

Abstract： With the continuous upgrading of China's mobile Internet and Internet of Things infrastructure， the rapid growth of network capabilities， the sharp drop in traffic charges and the widespread application of mobile payment， APP applications are becoming more and more abundant. At the same time， the threat of network and information security in the IT environment of mobile Internet is becoming more and more serious. The risk threat entry is from the traditional backstage system and equipment to the intelligent terminal and application level. Based on the analysis of the security technology of APP production， release， operation， offline and other key nodes of basic telecom operators， this paper studies the security management mode and key technology application of APP.

Key words： APP security; security detection; security reinforcement; security management; mobile internet

1 引言

移動互聯網、互聯網的快速發展和APP的廣泛應用，為經濟社會發展和人民生活帶來極大的便利，據《第43次中國互聯網絡狀況發展統計報告》（2019年2月）顯示，我國手機網民達8.17億，網民使用手機上網比例達98.6%，我國市場上監測到的APP在架數量為415萬款，呈持續增長趨勢。未來幾年，伴隨5G的全面商用和物聯網、工業互聯網的廣泛應用，APP數量將呈現持續增長趨勢。

新技術新應用產生新的安全風險。APP快速發展的同時，惡意程序也大量出現，尤其伴隨移動支付的普遍應用，各類趨利攻擊事件不斷發生，嚴重危害信息安全和移動互聯網健康發展。據《2018年我國互聯網網絡安全態勢報告》顯示，2017年，國家互聯網應急中心自主捕獲和廠商交換獲得移動互聯網惡意程序數量283萬余個，同比增長11.7%，惡意行為主要為流氓行為類、資費消耗類和信息竊取類等。據《第43次中國互聯網絡狀況發展統計報告》顯示，2018年我國網民在上網過程中遇到的網絡安全問題達50.8%，主要體現在網絡欺詐、個人信息泄露、賬號密碼被盜、設備染毒或中木馬等。騰訊社會研究中心和DCCI互聯網數據中心于2019年1月發布的《2018年度網絡隱私和網絡欺詐行為研究分析報告》也指出，安卓系統的APP更容易通過手機權限獲得用戶手機號、通訊錄、通話記錄、短信記錄等隱私信息。不法分子惡意獲取手機權限后，輕則用戶隱私被泄露、資費被消耗，重則導致進一步的違法犯罪行為，比如敲詐勒索。針對安卓系統APP獲取隱私權限情況，報告顯示，所有的安卓端手機APP都會獲取手機隱私權限;安卓端仍有半數APP申請讀取聯系人權限;九成左右APP試圖讀取讀寫存儲設備和獲取應用列表權限;投資理財類APP是獲取手機隱私權限最多的APP。在此嚴峻形勢下，2019年1月中央網信辦、工業和信息化部、公安部、市場監管總局四部委聯合開展APP違法違規收集使用個人信息專項治理活動，對APP安全治理提出更高要求和目標。

2 APP安全需求分析

2.1 APP安全威脅分析

有別于傳統應用系統的網絡安全威脅模型，移動互聯網的IT環境下，APP應用安全威脅面臨新的場景和挑戰。APP應用成為越來越多業務的主要入口通道之一，由于用戶分布廣、終端環境不可控、安全邊界模糊等因素導致APP應用被攻擊和利用安全事件頻發，對終端用戶和業務運營者的安全及經濟利益造成極大威脅和侵害。在移動互聯網環境下，攻擊者可通過智能終端上的APP為入口，突破整個業務和網絡安全防線，攻擊目標應用的后臺設備及系統，APP成為網絡業務鏈上的安全短板之一。攻擊手段包括逆向獲取應用源碼、利用終端或應用組件漏洞攻擊、惡意篡改、交易劫持、身份欺騙、山寨仿冒、業務缺陷攻擊等。另外，由于APP生產企業的安全意識和防護水平良莠不齊、企業在生產過程中重業務輕安全等現象，導致APP市場普遍存在“生產環節帶病上線、發布環節易遭篡改、使用環節易遭攻擊”的三重安全風險。

2.2 APP安全需求分析

鑒于當前移動互聯網快速發展及面臨的嚴峻安全形勢，APP應用安全管理及防護需求日趨強烈，主要的安全需求動力概括有三個方面。

（1）國家及相關部委安全監管要求

近年來，我國提出國家網絡空間安全戰略，對網絡信息安全治理提出更高要求和目標。《中華人民共和國網絡安全法》明確了企業、運營商在提供移動互聯網服務過程中的安全責任和義務及公民的網絡安全權益;《移動智能終端應用軟件預置和分發管理暫行規定》要求“生產企業和互聯網信息服務提供者應依法依規提供移動智能終端應用軟件，采取有效措施，維護網絡安全，切實保護用戶合法權益”;關于APP安全管理和防護，工信部、網信辦等國家部委監管部門先后下發了《關于開展APP違法違規收集使用個人信息專項治理的公告》《APP違法違規收集使用個人信息自評估指南》等相關安全管理要求和技術規范，因此APP安全具有自上而下的監管需求。

（2）運營及開發者保護經營利益需求

APP已成為越來越多業務的主要入口和承載主體，一旦遭受攻擊入侵可能發生核心業務中斷、交易數據被劫持、用戶信息泄露等嚴重風險，將對經營者造成巨大經濟損失和利益侵害，甚至產生嚴重的社會負面影響。因此， APP開發者、移動互聯網業務運營企業為保障自有業務和企業經營利益安全、維護企業口碑形象、承擔社會安全責任等，對APP安全需求日趨強烈，安全投入逐年增加，從而形成APP安全需求的內在驅動力。

（3）普通用戶安全權益訴求

普通用戶是組成我國移動互聯網網民大軍的基礎，作為智能終端的直接擁有者和APP業務受眾者，希望個人隱私、數字財產、敏感信息等合法的網絡信息安全權益得到切實有效地保障，暢享綠色網絡環境。近年來，用戶在使用APP過程中遭遇各種隱私信息泄露、網絡欺詐、銀行卡盜刷的安全事件不斷發生，直接威脅個人財產安全、生命健康。在媒體報道、各類公益宣傳的影響下，普通用戶的信息安全防范意識日漸提高，對APP的使用需求已不單是停留在功能和業務層面，APP是否安全正成為越來越多用戶的考量因素之一。

3 移動互聯網IT環境下APP安全管理關鍵技術研究及應用

從安全管理視角分析，將APP全生命周期劃分為：上線前、上線中、上線后三個關鍵階段，通過建立分級分域的安全管理體系，采用上線前安全檢測、上線中安全加固、上線后安全監測、認證的管控策略和技術手段，建立閉環的安全管理模式保障APP及其承載業務安全。

3.1基于分級分域管理思想，構建APP閉環安全管理體系

在移動互聯網IT環境下，APP作為業務承載和用戶操作主要入口，其運行環境依賴用戶智能終端和上網環境，因此在網絡域劃分時應從APP應用場景和業務網絡環境鏈綜合考慮。本文采用“基于用戶角色和網絡承載邊界”的方法劃分安全域，即首先確定用戶和業務承載角色，其次劃分網絡邊界，然后劃分好的安全域下設計安全策略，最后分析APP業務重要度等級確定安全策略指標集合。根據APP業務和網絡環境的通用特點，可劃分為“三域二邊界”，即用戶域、接入域、業務域;二邊界為：用戶域和接入域之間的外部網絡接入邊界，接入域和業務域之間的業務網絡接入邊界。

APP應用系統定級方法可參考等保的定級方案，從應用系統承載業務受到攻擊破壞后對國家、社會、公民、法人和其他組織等產生的權益損害和社會影響度等劃分五個等級。在形成分級分域后，對安全域設定安全策略框架，包括物理安全、網絡安全、業務安全、數據安全、邊界安全、通訊安全等，根據對APP應用系統的重要程度定級，設置安全策略指標集合，構建APP閉環安全管理體系。

3.2 創新多維多態智能檢測技術解決“帶病上線”問題

APP應用在設計開發環節可能因系統組件漏洞、開發人員安全意識薄弱、引入第三方風險SDK等原因導致自身安全防護能力低下，存在“帶病上線”等風險問題，為全面、高效地探測APP安全風險，創新提出聚合多維（代碼維、行為維、數據維），多態（靜態、動態），跨平臺（安卓、iOS、Windows）的深度安全檢測模型技術，其中包括三個方面：（1）APP靜態代碼檢測，通過指紋、特征碼比對分析應用程序或組件是否存在病毒木馬，通過解包、逆向、智能關聯分析等技術，檢測APP源碼安全性，確保其可抵抗靜態逆向、動態注入、山寨篡改等攻擊風險;（2）APP動態行為監測，基于隔離環境的安全沙箱技術，實現對APP運行過程的動態監控分析，包括網絡行為、文件操作、數據讀寫、動態加載、敏感API調用等，篩查不合規的越權操作、反常執行序列等;（3）APP數據流分析，基于人工智能算法和關聯分析技術，確保敏感數據存取、交換的保密性和完整性。通過多維綜合分析和模式識別，結合安全沙箱動態監控技術，可有效檢測出代碼保護不足、公共組件漏洞、身份鑒權缺陷、應用配置風險、核心業務數據暴露等7類高危漏洞。

3.3 基于無感知黑盒加固技術提升源碼安全防御能力

對于iOS應用在上線時APPstroe會采用FairPlay DRM數字版權加密保護技術，實現了應用源碼的初步保護，但該技術只能防御初級逆向攻擊，攻擊者通常使用Cycript開源工具的dumpdecrypted將加密殼脫出，再通過Hopper反匯編解密后程序文件，解析應用函數、代碼塊生成CFG控制流圖，從而暴露關鍵代碼和業務邏輯。為阻止對應用程序的篡改攻擊，提升應用的源碼安全防御能力，本文提出混合加密防護技術，包括幾個方面內容：（1）字符串加密：動態加密加密源代碼中的C/C++/OC/Swift字符?，防止攻擊者通過字符?猜測代碼邏輯;（2）邏輯混淆：將原始代碼的控制流進?切分、打亂、隱藏，插入花指令、將代碼邏輯復雜化??影響原始邏輯;（3）代碼虛擬化：將原始代碼編譯為動態的DX-VM虛擬機指令，運?在DX虛擬機之上，無法被反編譯回可讀的源代碼。通過混合加密的黑盒加固技術實現IPA的原生文件的安全保護，可有效防護應用程序被逆向、動態調試等風險。

相對iOS應用的封閉性和采用的防護措施，Android應用的APK程序本質上是壓縮文件，由于其系統開放性和開發語言大眾化等特點，在實際生產中經常發生發布被篡改的攻擊風險。目前，對Android應用程序的加固有多種方式，一般有動態加載、不落地加載兩種方案，從技術原理上分析，這兩種方案都存在天生缺陷，不能從根本上防御內存Dump和避免程序假死等問題。本文采用一種開發零感知的指令替換加固技術，也稱為虛擬機（VMP）保護加固，是指通過構建私有解釋器，定義特有指令并建立和Android系統的虛擬機指令集關聯關系，在內存運行指令時由私有指令執行，通過解析模塊翻譯成系統指令，這樣可防護內存記錄、Dumcp等方式獲取APP源碼、內存等攻擊，解決“使用時易遭攻擊”問題。

3.4 大數據和智能算監測“發布易遭篡改”風險

APP發布在應用商城發布后可能遭遇篡改、二次打包、山寨仿冒等風險，傳統模式基于已知山寨樣本特征碼比對的方式存在較大的漏報率，且特征庫更新滯后。本文基于分布式數據采集技術，建立“大數據+智能分析算法”的監測模型，包括三個方面。（1）分布式數據采集過濾：對APP應用商城、發布渠道、論壇等進行監測，根據分詞技術采集關鍵信息并提取APP下載鏈接;（2）APP特征提取：通過解包、逆向等技術手段，從疑似篡改APP中提取名稱、包名、證書、資源文件、配置文件、代碼函數特征庫等信息;（3）智能算法分析：根據設置的篡改分析模型參數從名稱相似度、包名相似度、配置相似度、代碼相似度、資源文件相似度等特征進行綜合分析，發現疑似篡改風險。

3.5 基于PKI的CA技術解決可信溯源問題

使用PKI技術的CA證書標識APP開發運營者可信身份，在應用遭到篡改攻擊后可通過簽名信息驗證是否為原廠的官方APP。此外，引入CA中心與業務后臺和終端打通可信身份驗證通道，用戶在發起登錄、交易等關鍵操作時，在請求消息中攜帶CA中心頒發的數字證書私鑰加密特征信息，經過CA中心驗證身份后轉發業務后臺，可防范非法請求、身份冒用等攻擊風險;檢測機構可通過在APP的“.RSA”文件中遞歸附加PKCS#7簽名信息實現副署簽名，通過副署簽名技術可標識APP的身份的多重有效性，同時解決事后審計追責等問題。

4 結束語

移動互聯網、物聯網及工業互聯網的快速發展和商用成熟，使得APP的應用場景日益豐富、業務結構日趨復雜，由此給網絡信息安全治理帶來新的威脅和挑戰。新技術和新業務的發展對安全管理和技術提出更高要求，本文所研究分析的僅是移動互聯網環境下APP安全管理、安全檢測、安全加固、安全監測及身份認證的技術和治理實踐，當下仍有更多領域待深入研究。總之，通過安全管理建立科學的閉環管控體系，從被動應急到主動響應，通過技術手段實現從安全開發到安全運營的全流程支撐，無論是運營商、企業、開發者，還是個人用戶都應提高安全防護意識，共同攜手構建清朗網絡空間。

參考文獻

[1] 車力軍，黃炎生，徐麗，基于智能雙驅檢測技術的APP一站式安全監測探索與實踐[J].電信技術，2019（04）.

[2] 常玲，趙蓓，薛姍，馬力鵬.移動應用安全防護技術研究[J].電信工程技術與標準化，2016（09）.

[3] 徐小天，王剛，陳威，陳樂然.移動平臺應用安全風險與防護方法研究[J].華北電力技術，2016（10）.

[4] 鄒煜.企業級移動應用平臺建設與安全保障體系探析[J].網絡空間安全，2016（06）.

[5] 張濱，袁捷，等.移動終端安全關鍵技術與應用分析[M].北京：人民郵電出版社，2015.

[6] 劉培慶.IOS應用逆向與安全[M].北京：電子工業出版社，2018.

[7] 李興新，侯玉華，等.移動互聯網時代的智能終端安全[M].北京：人民郵電出版社，2016.

作者簡介：

王飛（1983-），男，漢族，山西運城人，蘭州交通大學，碩士，中國移動通信集團山西有限公司，工程師;主要研究方向和關注領域：網絡安全、信息安全及數據安全。