合规安全大考核：移动应用安全策略全盘点简介：移动应用涵盖用户大量

简介：移动应用涵盖用户大量个人数据，一旦发生泄漏可能对个人、社会造成重大影响，同时对移动应用产业长远的发展来说也是毁灭性打击。移动应用开发者，也应注意开发过程中的规范性、安全性，敬畏安全问题，防范合规风险。

文章图片

文章图片
据统计，每年至少新增150万种移动恶意软件，至少造成超过1600万件的移动恶意软件攻击事件。
而Android因其开放性的生态环境，安全问题更是相当严峻。在应用市场上，很多AndroidApp都存在潜在的安全风险，一旦被利用，会给用户和开发者带来很大影响。
同时，伴随《网络安全法》以及《个人信息保护法》等相关法律法规的出台和落地，移动应用开发者们也需要协同政府部门，共同营造安全的移动应用环境，促进网络安全的规范化、安全化、健康化发展。
为帮助移动开发者有效应对应安全要求， mPaaS内很多模块都采用了安全策略：移动应用安全加固隐私合规检测RPC的加签加密离线包的签名校验移动同步的tcp+ssl机制热修复的加密配置
……
本文将为大家介绍上述常见mPaaS关于安全设计的几种模块，便于后续更好的使用。
随着政策法规及监管标准不断细化深化，监管查处力度的不断加大， App开发方需要面临的政策风险也在逐步增加。
mPaaS隐私合规检测服务，依据国家相关法律法规及行业规范，对移动App隐私安全、个人数据收集和使用进行合规分析。
从个人信息收集、权限使用场景、隐私政策等多个维度帮助企业及App开发者识别安全风险，提供对应的专家整改建议，助力客户规避监管处罚及通过审核上架。

文章图片

文章图片
结合着阿里内部移动应用安全加固能力的升级，我们现已在mPaaS中对外输出移动应用安全加固能力。
针对市面上移动应用普遍存在的破解、篡改、盗版、钓鱼欺诈、内存调试、数据窃取等各类安全风险， mPaaS移动安全加固为App提供稳定、简单、有效的安全防护，提升App整体安全水平，力保App不被破解和攻击。
在应对Android常见的攻击手段，比如反编译、二次打包、动态调试等的同时，我们也注重性能和兼容性。加固能力经历了淘宝、菜鸟等上亿业务的实践，在安全性上有保障；在兼容性上，我们支持4.2到AndroidQ的版本；能够支持arm、x86、x64的系统架构，在复杂的环境下稳定运行，奔溃率低；另外，通过对于类的混淆保护，增加攻击者逆向App的难度，让攻击无从下手。

文章图片

文章图片
作为mPaaS最重要的组件之一， RPC提供了客户端和服务端的安全通信通道，其中涉及安全的主要包括加签和加密。其中加签解决的是防止客户端被伪造，加密解决的是防止请求数据被泄漏。

文章图片

文章图片
整体流程：在mPaaS后台初始化应用的时候，会为每一个App创建一个唯一的appSecret；客户端通过appid、WorkspaceID、appSecret等信息，生成无线保镖图片。通过无线保镖模块的加密，保证了存放在客户端的appSecret的安全性；客户端请求的时候，从无线保镖获取appSecret ，同时添加OperationType、time、requestData等因子做MD5计算，添加到header发到MGS网关；MGS收到后按照同样的方法再计算一次MD5 ，如果一致，则通过校验。