給你的移動應用穿上馬甲

安全

作者：鄒大斌

近期，一家名為梆梆安全的公司因為能為移動應用提供安全防護而獲得數千萬美元的投資。據悉，這已經是該公司第三輪融資成功，此前分別獲得了來自紅點、IDG等多家知名投資商的注資。這家於2010年才成立、員工僅70多人的初創企業何以受到投資者如此青睞？

毫無疑問，移動應用市場的蓬勃興起是大背景。相關數據顯示，僅手機遊戲市場就高達200億元，在不久前的“雙11”活動中，透過手機端完成的淘寶訂單就占到了一半以上。當越來越多移動應用出現在智能手機屏幕時，黑客也如影隨行，伺機盜取用戶的個人信息，甚至直接盜取個人資產。如何確保使用者安全地使用移動應用成為當下移動市場的熱點，也成為投資者看好的領域。而梆梆安全所掌握的核心技術正是用以解決這一問題的，這也是其打動投資者的關鍵。

據梆梆安全創始人及CEO闞誌剛介紹，梆梆安全是一家提供移動應用加固服務的新一代安全公司。這裏的“新一代安全公司”是區別於以硬件銷售為主（如防火牆、IDS等）的第一代安全公司和以許可證銷售為主（如套裝安全軟件）的第二代安全公司而言。而移動應用加固是指通過一係列技術來確保移動應用的安全，使其能夠防反編譯、防動態調試、防客戶端篡改以及本地數據加密等，闞誌剛形象地將其稱為為移動應用穿上一件透明的馬甲。

“一旦開發者將移動應用發布出來並通過各種應用渠道商店推廣之後，它就基本上失去了對移動應用的控製。攻擊者可以通過反編譯、動態調試等技術手段來發現移動應用開發過程中的漏洞、獲得移動應用的源代碼、業務邏輯、通信方式等。”闞誌剛表示，梆梆安全的工作就是要阻止攻擊者做到這一切。

據梆梆安全CTO陳彪介紹，一旦攻擊者通過各種技術獲得移動應用的源代碼之後，輕者可以獲得源代碼，竊取開發者的勞動成果，重者可以通過對移動應用二次打包，在其中植入病毒代碼、廣告SDK、破解內購，甚至製造釣魚。比如，通過在移動APP種插入截屏代碼來盜取用戶輸入的賬戶和密碼信息。梆梆安全所做的是透過人工和一些自動測試工具來對移動應用代碼進行測試，以發現漏洞或者可能的隱患，並對此進行修補。

采訪中，陳彪介紹了一個案例，有攻擊者利用反編譯獲得了移動應用的源代碼，發現了其中原來為代碼調試而留下的API接口，然後利用這個安全漏洞盜取了服務器上的很多敏感信息。

據了解，目前梆梆安全擁有數百家收費用戶和近4萬家免費的用戶。在這些收費用戶中，遊戲、銀行、政府行業占絕大多數，費用按年以服務費的形式收取。其中，12306火車售票網站就采用了梆梆安全的移動應用加固服務。除了移動應用加固服務之外，梆梆安全還同時開展移動應用測評服務、移動應用安全大數據服務等。另外，梆梆安全還在構建一個基於大數據的主動防禦平台——神盾中心，來為用戶提供完整的安全大數據分析、威脅分級與標記，以及主動式安全預警。

談及未來，闞誌剛透露，在獲得數千萬美元的第三輪戰略融資後，梆梆安全將在其技術領先的移動應用加固服務的基礎上，為企業用戶提供更加豐富的定製化服務;同時，不斷擴展麵向企業用戶和移動應用開發者的服務和產品，包括提供更強大的安全測評服務，豐富的SDK開發工具包和安全大數據平台等。