控制台和登录入口整合在这里了。

确定

移动安全

为移动应用(APP)提供全生命周期的安全服务,其能够准确发现应用的安全风险并提供安全解决方案,是一种即用型服务,提高您应用的安全等级

包年购买 按次购买 联系销售

移动安全

移动安全的产品与服务从风险管理流程来看,分为风险检测,安全防护两大模块,覆盖应用从设计、开发、测试到上线的完整生命周期,一站式解决用户遇到的移动安全痛点


客户案例

“移动安全的应用加固功能,有效抵御恶意分析,保证了亿万用户的安全出行”

"移动安全的漏洞扫描功能,能够在测试阶段就准确地发现安全漏洞,避免了上线后的重大安全隐患。"


优点

强大的扫描能力

  • 自主研发的漏洞扫描引擎领先业界同类竞品一代以上,可覆盖95%以上的已知漏洞。

淘宝同款防护技术

  • 移动安全应用加固护技术应用于支付宝和淘宝等超级应用上,稳定性强,兼容性好,体积小,对移动应用几乎没有影响。

快速接入,可系统集成

  • 所有服务都可以通过SaaS服务提供,方便企业用户能够简单快速接入,并可集成到自有系统中,实现自动化服务。

全生命周期风险管控

  • 通过漏洞扫描发现内在风险,通过应用加固抵御外部攻击风险。完整的风险管控流程,覆盖移动应用全生命周期可能遇到的风险。

雄厚的人才积累

  • 移动安全拥有多位业界重大影响力的白帽子,如Xfocus创始人,dex2jar作者,Black Hat /RSA大会特约Speaker,具有非常雄厚的实力。

产品详情

移动安全(Mobile Security)为移动应用(APP)提供全生命周期的安全服务,其能够准确发现应用的安全漏洞等潜在风险,大幅提高应用反逆向、反破解能力。护航手机淘宝,支付宝等超级应用,历经多次双11实战考验。

移动安全的产品与服务从风险管理流程来看,分为风险检测,安全防护两大模块,覆盖应用从设计、开发、测试到上线的完整生命周期,一站式解决用户遇到的移动安全痛点。


功能

漏洞扫描

该功能通过对Android应用进行扫描,快速定位漏洞位置,并提供完整修复方案。采用静态扫描和动态扫描结合的方式能最大限度覆盖应用中潜在的安全漏洞:

  • 静态扫描:采用污点分析技术,通过精确回溯变量值,能够在寄存器的粒度对漏洞进行分析跟踪。

  • 动态扫描:采用模糊测试方法,通过还原真实的Android环境,得到精确结果。

应用加固

应用加固通过对Android应用进行重新编译、加壳保护、修改指令调用顺序等手段来增强应用反破解能力。我们的加固功能注重加固强度与兼容性并重,避免一般加固功能盲目追求加固强度导致加固后完全不可用。 应用加固核心功能包括:

  • 反主流静态分析工具: 能够有效的防止黑客通过APKTool,dex2jar,JEB等静态分析工具来分析应用的java层代码。

  • SO加壳:通过对SO文件进行加壳保护,能够有效的防止恶意者通过IDA,readelf等工具对SO里面的逻辑进行分析。

  • DEX加壳:通过对DEX文件进行加壳保护,以及动态运行时加载修复等技术手段,能够有效的防止黑客对java层代码的内存dump。

  • 常量加密:对DEX文件中的明文常量字符串进行加密,运行时通过解密函数动态解密,增大了逆向分析的难度。

  • java指令翻译: 修改java层业务逻辑的调用关系链,即便黑客得到java层的代码,也无法完整的分析整个业务逻辑。

定价

计费单位:美元

付费方式:预付费

移动安全服务分为基础版和专业版,基础版可免费试用,而专业版需付费购买,具体区别如下:

服务基础版专业版
漏洞扫描(a) 漏洞类型、数量、等级、修复建议(a) 漏洞类型、数量、等级、修复建议
(b) 详细漏洞位置
应用加固(a) 反静态分析工具
(b) DEX加壳
(a) 反静态分析工具
(b) DEX加壳
(c) SO加壳
(d) 常量加密
(e) java模拟执行
(f) java指令翻译

专业版服务支持按次购买和包年购买两种付费模式

包年购买

支付方式:先付费后使用

服务支持平台包年购买(美元/年)续费比例API调用次数上限(次/天)
漏洞扫描Android45000.550
应用加固Android180000.550

说明:

(a)以上服务的包年购买价格指的是1个应用1年的价格,允许同应用多版本共同使用。 第2年起,只需支付一半的价格即可享受包年服务

(b)购买实例后,需在管理控制台将实例配置给该应用,完成后可正式享受企业版服务。

(c) 包年服务既可以在管理控制台,也可以通过API调用方式享受企业版服务。

(d) API调用流量上限指该服务包含的所有接口的调用上限都是该数值。

(e) 如果本日次数用完,有紧急需求,需要继续调用,请通过工单联系我们。

包年购买

按次购买

付费方式:先付费购买次数后使用

服务支持平台按次购买(美元/次)有效期
漏洞扫描Android2501年
应用加固Android敬请期待1年

说明:

(a) 按次购买的次数可用于不同的应用。

(b)购买实例后,需在管理控制台将实例配置给该应用,完成后可正式享受企业版服务。

(c) 按次购买目前仅支持漏洞扫描。

(d) 按次购买的服务仅支持在控制台享受企业版服务。

(e) 购买的次数自购买之日起1年内有效,逾期失效。

(f) 按次购买的服务不支持续费,使用完或者到期后请重新购买。

按次购买

使用入门

通过管理控制台使用阿里云移动安全

阿里云管理控制台提供简单的基于 Web 的用户界面,让您可以访问和使用移动安全服务。使用此控制台,您可以上传移动应用,试用和购买移动安全的漏洞扫描及应用加固功能。

您可以参考此简单的 快速入门指南

资源

移动安全为移动应用(APP)提供全生命周期的安全服务,其能够准确发现应用的安全风险并提供安全解决方案,是一种即用型服务,提高您应用的安全等级。

开发者资源

常见问题

应用加固

1.什么是应用加固?加固的原理是什么?

加固的作用主要是用来增加软件的逆向成本,保护软件的利益不受损坏。这种技术也常用来保护软件版权,防止被软件破解。

2.加固的作用是什么?

加固的作用主要是用来增加软件的逆向成本,保护软件的利益不受损坏。这种技术也常用来保护软件版权,防止被软件破解。

3.加固后体积会增大多少?

加固由于在程序中插入花指令和加密so文件,如果dex文件为6M,体积则会增加dex文件的3%-5%,再加上目前so的180k的体积,大概会增加300多k,由于我们这边还会对dex文件进行再次压缩和指令优化,同时加固方式不同也会导致体积有不同变化,实际体积增加以不同的应用最终数据为准,但总体增大应该在2%-5%之间,对于个别应用体积不增加甚至减少也属正常情况。

4.加固需要花多长时间?

根据不同应用时间不同,以dex文件6M的应用程序,大约需要3-4分钟,应用越大,压缩时间越长。

5.加固的整个流程和形式是什么样子的?

加固接入方式有两种:

1.通过在控制台->移动安全上提交apk包,返回加固后的apk包。

2.通过接入api接口进行APP加固。

6.加固主要是对哪几个地方进行加强的?

1.反主流静态反编译工具apktool,dex2jar等。

2.dex文件加密,隐藏,指令保护等。

3.so加壳保护。

7.兼容性方面听说会有影响,阿里是怎么解决这个问题的,优势是什么?

由于android碎片化问题兼容性是有影响,解决该类问题目前主要有两个方面:

1.主动测试兼容性机型,不断找出潜在的兼容性问题。

2.及时收集客户反馈的问题,做相应的适配。 优势是阿里加固这边有相对独立的兼容性手机测试实验室,可以涵盖目前市场上top 200的机型,同时及时收集客户反馈问题,做相应的修改。

8.淘宝和支付宝等阿里系应用使用了加固了吗?使用了加固的什么服务?

目前阿里系大多数应用都使用了加固,比如手淘,天猫,千牛等主要使用的是加固的反主流静态反编译工具的服务,还有些对安全性要求较高的比如阿里健康,九游客户端,交易猫等应用使用了 dex 文件加密保护等加固服务。

9.加固会不会修改代码,在应用中插入广告等插件?

加固不会修改业务逻辑本身的代码,不会在应用中插入广告插件。

10. 接入加固后,后期需要怎么维护?

可以将加固作为Release版本做完整性测试即可,不需要特殊维护。

11.加固的优势和弱势是什么?

优势:

1.保护自己核心代码算法,提高破解/盗版/二次打包的难度。

2.还可以缓解代码注入/动态调试/内存注入攻击。

劣势:

1.影响兼容性。

2.影响程序运行效率。

漏洞扫描

1.漏洞扫描的引擎技术?

结合静态污点扫描和动态模糊检测技术。

2.漏洞扫描的作用是什么?

该功能在代码级别帮助开发者快速定位漏洞位置,并提供漏洞原理分析和完整修复方案。

3.漏洞扫描需要花多长时间?

根据应用的大小,大约需要5-20分钟

4.漏洞扫描的整个流程和形式是什么样子的?

在控制台上传APK文件,点击开始扫描,扫描完成后可查看漏洞扫描结果;购买包年服务,还可以通过api方式进行扫描。

5.漏洞扫描主要是对哪几个地方进行扫描的?

漏洞扫描会对APP做动态和静态扫描。

静态:针对Java层代码进行漏洞检测。包括APK中所有的dex和jar文件。

动态:针对APP对外暴露的组件进行fuzz,包括Activity, Service, Webview, ContentProvider。

6.漏洞扫描会扫描泄露核心的代码逻辑吗

不会,扫描结果只显示具有安全风险代码的位置,类名+方法名。不会包含代码的具体逻辑。

7.漏洞扫描对比业界的具体优势

1)静态污点分析的漏洞误报率和漏洞漏报率都优于竞品1个数量级。

2)竞品只能在函数内检测漏洞,而我们不仅可以识别由于函数调用形成的漏洞。还能检测指令级别的调用关系和指令的执行序列。

3)动态测试发现漏洞数远高于竞品。

4)无论是单个应用扫描时间还是平均扫描时间都比竞品快一倍以上。

5) 对已加固的APP能够进行自动脱壳扫描。