移动应用安全(Mobile Security,MS)为用户提供移动应用(APP)全生命周期的一站式安全解决方案。涵盖应用加固、安全测评、兼容性测试、盗版监控、崩溃监测、安全组件等服务,成长于 12 亿终端的多年实践,已服务于金融、互联网、车联网、物联网,运营商,以及政务等多个行业。稳定、简单、有效,让移动安全建设不再是一种负担。

腾讯云移动应用安全凝结腾讯自身多年积累的应用安全核心技术及经验,对外提供针对移动应用 APP 安全相关的多种产品及服务,帮助移动应用开发者和企业,解决其在移动应用 APP 开发和运营中所面临的各种安全问题和风险点。

应用安全产品及服务主要包括以下四大类:

  • 安全增强类:应用加固(乐固)、白盒密钥、小程序沙箱、安全键盘、支付链路保护;

  • 安全检测类:病毒检测、WiFi检测、伪基站检测、恶意网址检测 ;

  • 安全评估类:安全测评、兼容性测试 ;

  • 安全运营类:盗版监控、崩溃监测。

功能

通过腾讯云控制台,用户可根据不同的安全诉求,将腾讯云移动安全解决方案快速的应用到自身的移动业务场景中。腾讯云为用户提供如下移动安全产品服务:

  • 安全增强类

  • 应用加固
    应用加固可以在不改变 Android 应用源代码的情况下,将针对应用各种安全缺陷的加固保护技术集成到应用 APK,从而提升应用的整体安全水平,应用加固主要功能包括:DEX 反编译保护、SO 库文件反编译保护、APP 防篡改保护、APP 防调试保护等功能。

  • 小程序沙箱
    针对需要集成小程序和SDK,为保证主程序安全,提供沙箱功能,隔离小程序与 SDK 程序,对其进行管控和授权,保证主程序的安全运行。

  • 白盒密钥
    目前,APP 针对账户信息、密码等重要数据,已使用相应的加密算法进行保护,如:DES、3DES、AES、SM4等。对于加密算法,可靠性的核心在于其密钥的安全,腾讯云白盒密钥基于白盒密码技术,能够有效保护密钥安全。

  • 安全键盘
    在 APP 输入账号、密码,以及转账、支付等场景,为用户提供键盘乱序、键盘防监听,键盘输入信息加密等方面的安全防护能力。

  • 支付链路保护
    自研秘钥交换算法。防止秘钥协商的请求,应答被监听,以及中间人攻击等。客户端与服务器均有随机数算法生成随机数。解决中间人攻击,私钥泄露等问题。采用现在已公开的,高强度对称和非对称的加密算法。有效防止使用暴力破解,字典攻击等。采用0-RTT方案,使秘钥协商和业务请求应答可以再一次网络传输中解决,大大提高传输效率。

  • 安全检测类

  • 病毒检测
    提供移动设备病毒及恶意程序检测功能,可通过 SDK 集成在任何 APP 中,为 APP 开发者直接使用,增加 APP 自身安全能力。

  • WiFi 检测
    提供 WiFi 热点检测功能,可通过SDK集成在任何 APP 中,为 APP 开发者直接使用,增加 APP 自身安全能力。

  • 伪基站检测
    提供伪基站检测功能,可通过 SDK 集成在任何 APP 中,为 APP 开发者直接使用,增加 APP 自身安全能力。

  • 恶意 URL 检测
    提供移动设备中链接的恶意 URL 检测功能,可通过 SDK 集成在任何 APP 中,为 APP 开发者直接使用,增加 APP 自身安全能力。

  • 安全评估类

  • 安全测评
    腾讯云安全测评,针对移动应用将腾讯多年的攻防渗透、漏洞挖掘,以及行为分析等技术产品化。依托于等级保护三级的腾讯云平台,为用户提供优质安全测评服务的同时,确保用户的移动应用测评数据的安全。

  • 兼容性测试
    腾讯云兼容性测试,基于腾讯 Wetest 的核心能力,为用户提供移动安全后的一站式兼容性测试解决方案。为用户提供兼容性测试服务:一键提交 APK,平均 1 小时内获取测试报告。在测试过程中,为用户问题溯源提供一手的数据基础。同时,为用户提供包括:问题类型、严重程度、出现频率,以及影响人群等多维度的数据展现。

  • 安全运营类

  • 盗版监控
    基于腾讯云移动安全大数据的盗版监控,不仅为用户提供全网能力的盗版监测服务,同时为用户提供有效的盗版打击能力,包括盗版非应用商店传播、盗版运行提示,以及盗版应用商店下架等服务。

  • 崩溃监测
    腾讯云崩溃监测,基于腾讯 Bugly 的核心技术能力,为用户提供 24 小时的全面崩溃监测,让用户不错过任何一次应用异常。

  • 移动应用安全(Mobile Security,MS)提供了移动应用的一站式安全解决方案。您只需上传已签名的安装包,就能享受安全检测、应用加固、渠道监控以及安全 SDK 等一系列功能。移动应用安全服务可以防止您的应用被盗版破解,同时可及时发现应用漏洞,监控应用正盗版分发等,有效捍卫移动应用所有者利益。

  • 注意事项

  • 移动应用安全服务使用过程中请注意以下问题:

  • 加固后需重新签名,否则无法正常安装。

  • 若有多渠道打包需求,请加固后先使用多渠道打包工具打包,然后对渠道包重签名。

  • 使用限制

  • 移动应用安全服务使用过程中有如下限制:

  • 需上传已签名安装包。

  • 每个账号下维持不超过8个应用记录。

自研的安全检测引擎

移动应用安全下的安全扫描服务采用腾讯自研的安全检测引擎。腾讯旗下多款用户量上亿级的应用均采用该引擎,历经市场考验,可帮助开发者尽早发现应用中存在的安全风险。

优秀的加固性能

移动应用安全下的应用加固服务严格控制加固对应用安装包大小及性能影响。加固前后应用的体积、性能不会出现显著变化。

良好的兼容性

移动应用安全下的应用加固服务采用千余款真机而非虚拟机来验证加固稳定性,确保加固方案在主要机型上的兼容。

应用加固

  • DEX 文件加固:对 DEX 文件进行专业加壳加花保护,防止利用调试器对应用进行逆向破解。

  • 资源文件保护:资源文件被非法篡改、删除后,程序将无法正常运行。

  • 防二次打包保护:应用内任意文件被修改、替换后,都将无法正常运行。

  • 防调试器保护:防止使用各类静、动态调试工具影响应用运行。

  • 内存防 dump 保护:防止通过动态调试、dump 形式获取应用部分代码。

  • 高级内存保护:可对内存数据进行高强度防护,有效防止内存调试、内存 dump 等方式窃取源码。

  • so 文件保护:可对指定 so 文件进行安全防护,防止被逆向工具破解,暴露核心敏感逻辑。

安全测评

  • 数据安全评测:进行日志敏感信息泄露审计、文件存储权限审计、数据库敏感数据审计、系统组件敏感数据审计等。

  • 网络通信安全评测:进行加密传输安全审计、https 通信安全审计等。

  • 应用安全评测:进行远程命令执行漏洞审计、应用不安全配置审计、拒绝服务攻击漏洞审计、逻辑越权漏洞审计、常见 Web 漏洞审计等。

  • 第三方库安全评测:进行高危第三方库扫描审计、第三方库漏洞预警等。

安全 SDK

反游戏外挂:提供游戏反外挂 SDK,有效防止外挂对游戏的破坏和修改

适配分析

  • 自动适配测试:提供随机50款真机机型,进行自动兼容适配测试。有效反映应用在真机上的兼容适配情况。

  • 低配机型重点测试:提供30款低配真机机型,进行自动兼容适配测试。有效反映应用在适配重灾区机型上的兼容适配情况。

质量跟踪

应用 crash 跟踪:提供包含 Android Native 上报信息的各类 crash 实时信息。除出错堆栈外,采集了丰富的出错时运行的信息,供分析使用。

更新版本:4.2.0.3

  • 类型:专业版

  • 更新时间:2019年8月7日

  • 更新内容:

    • 增加64位适配。

    • sophix 热修复框架兼容性优化。

更新版本:4.1.0.15

  • 类型:免费版

  • 更新时间:2019年8月5日

  • 更新内容:

    • 增加支持原 apk 无 so 时的64位支持。

    • sophix 热修复框架兼容性优化。

更新版本:4.1.0.13

  • 类型:免费版

  • 更新时间:2019年7月23日

  • 更新内容:

    • 增加64位适配。

更新版本:4.2.0.1

  • 类型:专业版

  • 更新时间:2019年7月17日

  • 更新内容:

    • 专业版适配 Google Android Q、华为 Android Q、小米 Android Q。

    • 各安全组件功能拆分,功能组合更合理。

更新版本:4.1.0.12

  • 类型:免费版

  • 更新时间:2019年7月1日

  • 更新内容:

    • 适配小米 Android Q。

    • 适配 Android 9.0 Apache 框架。

    • 增加 ucl 压缩算法,减小加固包尺寸。

    • fix bug。

www.ksyuwei.cn

www.ksyuwei.cn

    www.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cn

应用加固上传失败的原因有哪些?

  • 上传的应用未签名,目前移动应用安全仅允许上传已签名应用。

  • 已加固的 apk 不可进行重复加固,只需要重签名即可。

  • 尝试切换官网/加固工具进行上传加固。

  • 部分浏览器可能存在不兼容情况,尝试换其他浏览器登录。

  • 登录状态有问题,尝试退出浏览器清除缓存后,再重新登录。

  • 应用存在安全风险。

注意:


  • 若第三方杀毒引擎提示您的应用存在安全风险,移动应用安全则会拒绝您的应用上传、同时拒绝对应用进行加固。一旦出现该情形,建议您检查应用中是否存在违规行为。

  • 若您将存在安全风险的应用发布出去,极大可能被渠道市场拒绝,且无法在用户手机安装。对于此类应用,加固能否成功并非最核心要素,因为渠道分发、用户手机都会有类似的安全扫描,移动应用安全采信的第三方杀毒引擎也极有可能被各分发市场、用户手机上安装的安全软件采信。

加固失败提示“签名出错,Error code:2,Failed to load signer “signer#1””可能是什么原因?

  • 签名文件错误,必须确保加固前后签名信息保持一致。

  • 尝试重新下载加固工具,选择加固配置时选择新配置,再重新输入一次签名文件路径和密码。

如何查看 apk 的签名信息?

安装好 Java,并配置环境变量。在 cmd 中执行:keytool -printcert -jarfile *.apk 即可看到 apk 的签名 MD5 字段信息。确认加固前后 apk 的签名信息是否一致。

加固失败并提示“安装包签名有误 ShieldCode = 40186”该如何处理?

  • 确认上传的应用是已签名的应用。

  • 自查确认加固前后签名是否一致。

  • 打 release 包时 Signature Versions 只勾选了 v2:release 打包时 Signature Versions 勾选 v1+v2,加固时签名设置选择新配置,选择 v1+v2,再输入签名文件和密码。

  • 签名不成功,META-INF 文件夹不完整。应删除 META-INF 文件夹中的 .MF 文件,再重新签名。

加固失败并提示“应用存在安全风险”是什么原因?

  • 说明应用被国内外杀毒引擎判定为恶意,移动应用安全将会拒绝对此类应用进行加固,请检查应用是否有违规行为。

  • 移动应用安全采信了第三方杀毒引擎判定结果,若您的应用被杀毒引擎判定为恶意,加固已经没有意义。因该类应用将无法上架正规应用市场,且无法安装到用户手机,也注定会被手机的安全防护软件拦截。此类问题非加固造成,需仔细检查应用是否违规。

  • 若确认应用本身无风险问题,可在官网进行 申诉。

应用加固后无法安装或登录闪退如何处理?

  • 请确保加固后已重新签名,且加固前后签名保持一致。

  • 尝试重新加固,加固时签名配置选择新配置,重新输入一次签名文件和密码。

应用加固后部分功能异常是什么原因?

通常是因为未(正确)签名导致,请排查以下可能问题:

  • 应用加固前后签名不一致,或者未签名。

  • 应用本身有签名、文件 MD5 校验等校验机制。

  • 多次重复加固极易导致程序异常,请确保只加固一次。推荐您上传原始安装包,使用移动应用安全进行加固。请勿用第三方加固包或移动应用安全加固包再次加固。

如何进行应用加固?

您只需要确保使用已签名的安装包在 移动应用安全控制台 直接提交加固即可,可参见 快速入门 进行操作。

如何下载乐固加固工具?

注册登录 移动应用安全控制台,在左侧导航栏中,单击【应用加固】,进入应用加固页面,单击【加固工具】,可下载相应版本的加固助手和指导手册。

应用加固为什么必须重签名?

应用加固不可避免的会破坏原有签名,加固后必须对加固包重签名才能发布至应用市场,否则会被提示 “应用未签名”,请务必确保加固前后的签名一致。

如何进行重签名?

官网加固后,下载加固包(_legu.apk),下载乐固工具,在辅助工具中选择签名 apk,可对加固包进行重签名。
工具加固可直接在加固列表中选择签名配置,保证加固前后签名文件的一致,如需了解更多请参见 详细操作步骤。

签名工具中的签名信息(keystore 路径、keystore 密码、keystore 别名)如何获取?

签名信息请向您的开发人员索取,签名文件一般为 keystore 或 jks 的扩展名文件。
密码正确时,别名自动显示,无需输入。

如何识别已加固的 apk 和加固后并重签名的 apk?

  • 已加固的apk后缀为 _legu.apk。

  • 加固并重签名的 apk 后缀为 _legu _aligned _signed.apk。

移动应用安全版本更新动态如何查看?

移动应用安全版本更新动态可参见 更新日志。

使用应用加固基础版的用户如何反馈问题?

使用应用加固基础版的用户,若在使用过程中若遇到问题,可以发送邮件至 MS_service@tencent.com 进行反馈,我们收到反馈后,会排期进行处理,应用加固基础版暂不支持实时的响应服务。

说明:

应用加固企业版享7 * 24小时技术支持服务。如您对应用加固有个性化需求,请参见 购买指南。

为什么要做兼容性测试?

Android 机型及系统碎片化严重,每一款应用在上线之前,都应做一轮覆盖一定机型量的兼容性测试。在产品面对海量用户之前,尽量筛选并解决所有影响用户体验的问题。

如何进行测试机型选择?

理论上机型数量覆盖越多,可发现的 Bug 越多。然而“最需要修复的 Bug 80%都集中在了20%的机器上”,二八原则在适配兼容测试过程中也同样适用。大量的测试机器中必然充斥着众多边缘机型。这些机型所测出的兼容性问题,不仅修改成本高,而且修复后产生的作用也并不显著。
建议花更多的时间在最主流机型的主要 Bug 上,以腾讯游戏项目为例,测试 TOP100 的机型。机型排名根据腾讯游戏大数据平台选取,确保用户量占比最高。每月进行新机型采购,保持机型库中的 TOP100 机型全都是当下的最热机型。而作为移动安全兼容性测试的用户,均享受与腾讯应用同等的兼容性测试服务。

安全测评能解决什么问题?

虽然通过应用加固,可以对 App 程序进行整体的保护。但对于 App 的编程代码、第三方控件、以及残留信息等方面,是否存在代码风险,已知漏洞,是否存在后门等恶意代码,是否存在违法违规,暴露自身运行逻辑的敏感信息,就需要进行全面的安全测评,发现潜在的应用安全问题。

腾讯云应用安全检测能力如何?

腾讯云安全测评,包括代码风险、漏洞扫描、第三方 SDK 检测、恶意代码扫描,以及敏感词检测等全方面的安全测评能力。并且,基于腾讯的全网终端覆盖,对于新风险、新威胁,能够第一时间反馈至应用安全测评能力,并转化为腾讯云用户的价值。

安全测评发现的问题,应该怎么办?

  • 安全测评报告中,不仅会提供直观的测评结果,同时会将问题的具体位置、相关代码反馈用户,使用户能够快速定位到问题。

  • 针对每一项测评结果中发现的问题,均配以相应的解决建议,建议具体到配置某个参数、代码,从而帮助用户快速解决问题。

应用在什么阶段进行安全测评?

  • 建议用户在开发阶段中,可根据需要进行安全测评,及时发现并解决问题。

  • 在应用发布前的测试阶段,建议进行安全测评,确保待发布应用的安全性。

使用未加固安装包,还是已加固安装包进行安全测评?

因为加固后部分代码已加密加壳,建议用户使用未加固安装包进行检测,能够更深度的发现潜在的风险和漏洞。

什么是白盒密钥?

现在的 App 针对帐号信息、密码等重要数据,往往使用加密算法进行加密保护。但是对于加密算法,其可靠性的核心在于加密密钥的安全,腾讯云白盒密钥基于白盒密码技术,能够有效保护加密密钥的安全。

白盒密钥支持哪些加密算法?

白盒密钥支持 DES、3DES、AES 等加密算法。

如何使用白盒密钥?

腾讯云白盒密钥为收费安全组件,以 SDK 形式集成使用。使用时仅需用原始密钥对白盒密钥 SDK 进行初始化,后续在应用中直接调用白盒密钥 SDK 即可完成加解密操作,而不会再以任何形式存在原始密钥。



  • 名称: T-Sec移动应用安全
  • 关键词: T-Sec移动应用安全,APP加固,腾讯云