五大移動應用加固平台評測

首先做個說明為什麼我會先這個自動化加固的評測。很大一部分原因是和興趣有關,因為是學習app安全開發,所以多多少少要了解移動安全這方面的知識,很多時候我們會用一些線上的自動化安全平台來給應用加固。所以在一開始選擇什麼加固產品的時候也是試了好多個不同的廠商。這次就不如把我之前測的一些數據分享出來,供大家參考。

對於移動應用開發工程師來說,應用自動化加固無疑是最便捷的一種安全方式了。通過加固可以在一定程度上達到反編譯和防止被二次打包的效果。當然,現在網上很多平台都提供加固服務包括BAT在內。加固原理差不多,但是加固強度和兼容性上還是有很大差別的。

以下是我之前整理的一些應用加固評測。總共選擇了5個平台,1款APP。同時用這5個平台加固,然後通過操作體驗,加固後啟動時間,加固後應用大小和兼容性上進行評測比較。

以下是五個評測對比的加固平台:

1.360加固保 鏈接:jiagu.360.cn/

2.阿里聚安全 鏈接:jaq.alibaba.com/

3.騰訊雲應用樂固 鏈接:qcloud.com/product/cr.h

4.梆梆安全 鏈接:bangcle.com/

5.通付盾移動安全雲 鏈接:appfortify.cn/pc-index.

1.操作難易

首先將應用在選擇的5個平台中進行加固,這次選擇的應用是魅力惠3.1.0.2版本,大小為16MB。選擇的加固全部都是免費使用的。當然部分也有付費版本的高級加固,不過這次不在評測範圍內。

360加固保

360的加固流程下來,加固前選擇項比較多,可以選擇增強服務比如日誌分析,x86架構,應用升級通知,還有對於簽名的選擇。他們還有一個桌面版可以提供本地加固。

阿里聚安全

如果是認證用戶可以選擇已有的應用或者上傳新應用直接開始加固,操作過程很順暢。加固中會提示先給應用進行惡意代碼檢測,這點挺人性化的。加固後將文件下載下來再次簽名即可發布。另外還有在線多渠道加固可以選擇,這個功能比較適合發布渠道多的用戶。

騰訊雲應用樂固

騰訊雲的加固上傳應用後默認選擇了加固,漏洞檢測還有渠道監控。可選項是適配分析,限量每天一次。 卡片式的界面設計和阿里聚安全的倒是挺像的。

梆梆安全

梆梆的整體流程和其他的差不多,可以選擇安全評估和應用加固是否同時進行。

通付盾

通付盾加固的界面,選擇應用上傳後,選擇服務點擊提交便可。

小結:5個平台加固功能使用下來基本不會出現操作疑問,主要是步驟和流程都太像啦。個人從用戶體驗這一點來評價的話,騰訊雲和通付盾的設計會比較好,在加固完成之後都會有簽名工具的下載提供,想得比較周到。

2.加固等待時間對比

對於加固等待時間這一次對比中也做了記錄。同樣的應用在不同的平台加固時間也是很不一樣,最快的是阿里聚安全,16MB的應用加固用時35秒,而通付盾最久用時3分08秒。當然時間的差別除了和加固引擎不一樣之外,也可能是加固強度和加固項目有關。

3.加固前後體積對比

加固後將這些加固保下載下來,對未簽名的應用做了體積比較。阿里聚安全的加固反而使應用包變小1MB,其他的幾個則都出現了0-0.8MB的浮動。

4.加固前後啟動速度對比

通過第三方兼容性測試testin的測試,這五個平台輸出的應用簽名後兼容性相差不大。這次採用的是覆蓋100台主流手機的測試,檢測結果如下:

除了360加固,其他4各平台加固後啟動速度比加固前要慢。其中對速度影響最大的是梆梆安全。

5.加固前後兼容性對比

對於應用的兼容性也是非常重要的一項指標。通過這次的評測,可以發現測試的應用採用通付盾的加固後,兼容性出現了大幅度下降只有88%。而其他四個並沒有太多的變化。

總結

最後再來一個匯總的統計表格,看看這幾個指標中都是哪些平台得了第一:

這裡要特別提一下,如果應用市場選擇360和百度開發平台的話他們的規定是不允許使用其他品牌商的加固功能的,這一點體驗上就會不太好。各位如果想選擇加固產品可以重點關注加固後的兼容性還有啟動速度這兩個維度。

最後是想說明一下這次加固使用的都是免費版自動化加固,目前各個平台也都有提供一些API或者更高強度的加固方案。不過就目前加固技術而言,還是有方法可以對應用脫殼的,對於應用安全來講除了加固還可以再結合其他的一些方式。比如在應用中嵌入安全組件,進行數據加密和邏輯混淆這種方式。

第一次發文,請多指教:)

推薦閱讀:

TAG:移動應用 | 評測 | 移動終端 |