5大移動應(yīng)用加固平臺評測

djfml 發(fā)布于2019-06-21 16:28 / 2956人閱讀

摘要：梆梆安全梆梆的整體流程和其他的差不多，可以選擇安全評估和應(yīng)用加固是否同時進行。其中對速度影響最大的是梆梆安全。通過這次的評測，可以發(fā)現(xiàn)測試的應(yīng)用采用通付盾的加固后，兼容性出現(xiàn)了大幅度下降只有。

前言：由于安卓APP是基于Java的，所以極容易被破解，一個不經(jīng)過加固的APP猶如裸奔一樣，毫無防備。之前曾有新聞報道，一些專職的APP打包黑產(chǎn)就是專門從各種渠道找到apk，通過各種破解手段將apk文件破解、反編譯，然后加入廣告、病毒代碼，重新打包投入市場，不明真相的用戶將帶病毒廣告的apk下載下來，甚至因此造成利益損失。

對于移動應(yīng)用開發(fā)工程師來說，應(yīng)用自動化加固無疑是最便捷的一種安全方式了。通過加固可以在一定程度上達到反編譯和防止被二次打包的效果。當(dāng)然，現(xiàn)在網(wǎng)上很多平臺都提供加固服務(wù)包括bat在內(nèi)。加固原理差不多，但是加固強度和兼容性上還是有很大差別的。

筆者周末抽空整理了一些app對目前口碑比較好的幾家熱門公司的加固平臺做了應(yīng)用加固評測。這次總共選擇了5個平臺，1款app。同時用這5個平臺加固，然后通過操作體驗，加固后首次啟動時間，加固后應(yīng)用大小和兼容性上進行評測比較。

以下是五個評測對比的加固平臺：

1.360加固保鏈接http://jiagu.360.cn/

2.阿里聚安全鏈接http://jaq.alibaba.com/

3.騰訊云應(yīng)用樂固鏈接https://www.qcloud.com/product/cr.html

4.梆梆安全鏈接http://www.bangcle.com/

5.通付盾移動安全云鏈接http://www.appfortify.cn/pc-index.html

操作難易

首先將應(yīng)用在選擇的5個平臺中進行加固，選擇的應(yīng)用是魅力惠，大小為16MB。加固整體流程走下來，全部都是免費使用的。當(dāng)然部分也有付費版本的高級加固，這次不在評測范圍內(nèi)。

360加固保
360的加固流程大體和阿里聚安全差不多，加固前選擇項比較多，可以選擇增強服務(wù)比如日志分析，X86架構(gòu)，應(yīng)用升級通知，對于簽名的選擇。

阿里聚安全：
如果是認證用戶可以選擇已有的應(yīng)用或者上傳新應(yīng)用直接開始加固，操作過程很順暢。加固中會提示先給應(yīng)用進行惡意代碼檢測，這點挺人性化的。加固后將文件下載下來再次簽名即可發(fā)布。另外還有在線多渠道加固可以選擇，這個功能比較適合發(fā)布渠道多的用戶。

騰訊云應(yīng)用樂固
騰訊云的加固上傳應(yīng)用后默認選擇了加固，漏洞檢測還有渠道監(jiān)控。可選項是適配分析，限量每天一次。

梆梆安全
梆梆的整體流程和其他的差不多，可以選擇安全評估和應(yīng)用加固是否同時進行。

通付盾
通付盾加固的界面，選擇應(yīng)用上傳后，選擇服務(wù)點擊提交便可。

小結(jié)：5個平臺加固功能使用下來基本不會出現(xiàn)操作疑問，主要是步驟和流程都太像啦。個人從用戶體驗這一點來評價的話，騰訊云和通付盾的設(shè)計會比較好，在加固完成之后都會有簽名工具的下載提供，想得比較周到。

加固前后指標(biāo)對比 加固等待時間對比

對于加固等待時間這一次對比中也做了記錄。同樣的應(yīng)用在不同的平臺加固時間也是很不一樣，最快的是阿里聚安全，16MB的應(yīng)用加固用時27秒，而通付盾最久用時3分08秒。當(dāng)然時間的差別除了和加固引擎不一樣之外，也可能是加固強度和加固項目有關(guān)。

加固前后體積對比

阿里聚安全的加固反而使應(yīng)用包變小1MB，其他的幾個則都出現(xiàn)了0-0.8MB的浮動。

加固前后首次啟動速度對比

一般來說加固后首次啟動速度會略微受到一點影響，但是第二次啟動就會正常。通過第三方兼容性測試testin的測試，這五個平臺輸出的應(yīng)用簽名后兼容性相差不大。這次采用的是覆蓋100臺主流手機的測試，檢測結(jié)果如下：

除了360加固，其他4各平臺加固后啟動速度比加固前要慢。其中對速度影響最大的是梆梆安全。

加固前后兼容性對比

對于應(yīng)用的兼容性也是非常重要的一項指標(biāo)。通過這次的評測，可以發(fā)現(xiàn)測試的應(yīng)用采用通付盾的加固后，兼容性出現(xiàn)了大幅度下降只有88%。而其他四個并沒有太多的變化。

總結(jié)

最后再來一個匯總的統(tǒng)計表格，看看這幾個指標(biāo)中都是哪些平臺得了第一：

這里要特別提一下，如果應(yīng)用市場選擇360開發(fā)平臺的話是不允許使用其他品牌商的加固功能的，這一點體驗上就會不太好。目前整個加固市場從這次的樣本分析上來看也是大同小異，各位如果想選擇加固產(chǎn)品可以重點關(guān)注加固后的兼容性還有啟動速度這兩個維度。

最后是想說明一下這次加固使用的都是免費版自動化加固，目前各個平臺也都有提供一些API或者更高強度的加固方案。不過就目前加固技術(shù)而言，還是有方法可以對應(yīng)用脫殼的，對于應(yīng)用安全來講除了加固還可以再結(jié)合其他的一些方式。比如在應(yīng)用中嵌入安全組件，進行數(shù)據(jù)加密和邏輯混淆這種方式。