首家免費!三六零天御為開發者打造SDK加固服務
在今年9月舉行的ISC 2018網際網路安全大會上,360公司釋出了全新面向移動應用(APP)的安全品牌----三六零天御。它是由此前備受開發者青睞的加固工具360加固保升級而來,主要包括安全開發、安全評估、安全加固和安全運營四大產品體系,可以為移動應用提供全生命週期安全服務。
日前,三六零天御首家免費推出SDK加固服務,通過三大技術優勢實現針對第三方SDK的專業原始碼保護和防非法呼叫,移動應用開發者再不必為第三方SDK的安全性擔憂。
第三方SDK對於開發者來說是不是萬金油?
眾所周知,由於其自身程式碼開源,Android系統為很多應用開發者提供了施展拳腳的舞臺。對於基層應用開發者來說,在開發一款APP時,最簡潔高效的方式是在程式碼中引入第三方SDK(軟體開發工具包)。這些SDK 是由廣告、資料、社交網路、地圖和推送平臺等第三方服務提供商所開發的工具包,可以提供專業的服務,其中封裝了複雜的邏輯實現以及請求響應的過程。引入這些SDK,可以大大縮短移動應用的開發週期,豐富移動應用的功能。
凡事皆有兩面。由於第三方SDK開發者的安全能力水平參差不齊,很多第三方SDK開發者把關注的焦點放在功能的實現上,而忽視了其安全性。一旦這些SDK裡存在安全漏洞,又被開發者引入自己的移動應用程式碼中,那就如同埋下了一顆隨時可能引爆的炸彈,危及使用者的資料及隱私安全。
比如今年5月,盤古實驗室就爆出SSZipArchive和ZipArchive兩個開源庫在解壓過程中沒有考慮到檔名中包含“../”的情況,造成了檔案釋放過程中路徑穿越,直接導致惡意Zip檔案可以在App沙盒範圍內,覆蓋任意可寫檔案,影響到了多款流行應用。
天御重磅出擊 三大技術優勢守護SDK安全
實際上,目前很多SDK都沒有很好的安全防範措施,存在威脅高中低不等的漏洞。針對這些安全隱患,三六零天御旗下的加固保提供了完善的SDK安全加固解決方案,可有效防止SDK檔案被靜態破解、動態攻擊、非法呼叫和惡意植入等行為。開發者只需一鍵上傳即可解決被黑客破解等問題,並且滿足SDK加固後的安全性、相容性的要求。
SDK安全加固服務擁有全球領先的技術優勢,可以提供JAR檔案高強度保護、SO檔案高強度保護以及基於虛擬機器指令的殼SO保護,有效防止第三方反編譯軟體破解,增強了殼so和第三方so的保護強度,並能防止通過IDA工具逆向so檔案中的函式及定位原始碼。
從功能特點來說,SDK加固服務使用具有國家專利的原始碼保護技術,可有效的防止SDK檔案被靜態破解和動態攻擊;通過指定包名來註冊合法呼叫者的方式可以保證SDK只能被指定APP進行呼叫,防止SDK被整合到其他應用,保護開發者智慧財產權不被侵害;另外,超高的相容性也使加固後的SDK檔案適用於所有安卓客戶端,初始化後使用無差異。
首家免費提供SDK加固的三六零天御,作為360集團專為移動應用打造的安全品牌,是目前全球首個為移動應用提供全生命週期安全服務的產品系列。截至目前,三六零天御共服務移動應用80萬+,每天保護10億移動終端使用者,應用場景覆蓋政府、網際網路、運營商、金融、遊戲、教育、醫療等應用場景,使用者數量全球第一。