移动应用安全变得快速而简单
0/5 (0投票)
Quixxi 是一款智能、集成、端到端的移动应用安全解决方案,让开发者能够在几分钟内保护和监控任何移动应用。
随着全球互联网流量超过 52% 来自移动平台,移动应用程序已成为客户和消费者与数字世界互动的主要方式,移动应用安全不再是事后诸葛,而是每个开发者工具包不可或缺的一部分。
Quixxi Security 以 SaaS 平台的形式交付,并且可以与自动化开发运维 (DevOps) 平台集成,简化了移动应用漏洞测试流程,并允许开发者一键加强任何移动应用的韧性。
Quixxi 是一款智能、集成、端到端的移动应用安全解决方案,让开发者能够在几分钟内保护和监控任何移动应用。
Scan
Quixxi 自动化漏洞评估从安全角度对您的应用进行详细分析,报告检测到的每个漏洞,并提供描述、相关风险的解释以及修复漏洞的建议。这些信息在您的应用发布到生产环境之前,是识别关键问题的宝贵资源。
自动化漏洞报告
移动应用容易出现固有的平台漏洞以及配置错误。
Quixxi 自动化漏洞评估是对您的应用进行的快速静态评估,用于概述关键安全弱点并获得有用的修复建议。
Quixxi Scan 通过简单的拖放操作,对 apk 或 ipa 文件进行静态分析,提供即时的应用预筛查。此外,此报告将帮助您了解报告的漏洞中哪些可以通过简单集成 Quixxi Shield(一款屡获殊荣的应用保护解决方案)轻松缓解。
高级手动评估
极度关键的企业级移动应用——例如金融科技、医疗保健等领域的应用——经常处理、传输或存储用户的敏感数据。安全漏洞会对公司的声誉造成严重损害,并对终端客户的日常生活产生巨大影响。确保最高的安全标准将有助于保护您的整个客户群。
Quixxi 高级手动评估结合了手动方法、网络流量分析器和其他安全工具,以检查静态和运行时行为。该评估调查任何可能被利用来动态访问第三方不应被允许访问的基础设施、系统功能和数据的应用缺陷。Quixxi 还提供针对 Web API 的高级手动评估服务。
受 OWASP 启发
自动化和手动漏洞评估服务均根据 OWASP 移动安全项目指南(特别是最新的 2016 年移动风险 Top Ten)中的安全领域进行构建和分析。
OWASP 是一个开放社区,致力于帮助组织构思、开发、采购、运营和维护可信赖的应用程序。
OWASP 凭借其独特的地位,能够向全球个人、公司、大学、政府机构和其他组织提供关于安全的公正、实用的信息。OWASP 作为志同道合的专业人士社区运作,发布有关安全的软件工具和知识库文档。
Shield
Quixxi Shield 提供无代码保护,防止黑客克隆、篡改、注入恶意代码以及普遍利用您的移动应用。只需简单地拖放 Android 和 iOS 应用,即可应用一套先进的最新安全层,快速轻松地提供必要的保护。
定制您的安全
安全是一个概念,根据特定的目标应用,它包含不同的选择和细微差别。
因此,我们构建了 Quixxi Shield,旨在提供全面的移动安全定制,无论您的业务领域如何,都能为您提供保障。
所有安全设置均可通过门户网站直接通过复选框进行配置,无需任何编码。最后,Quixxi Dashboard 将允许您远程监控情况,并在需要时采取适当措施。
防止反向工程
Quixxi 通过破坏黑客通过反编译理解您代码的能力来保护您的移动应用程序。根据平台的不同,Quixxi Shield 利用各种创新和技术先进的技术。
这些技术包括但不限于:
加密字符串 - Quixxi 可以删除类中的硬编码字符串,用原生层调用替换它们。移除的字符串会被加密并存储在原生层,以保护相关数据。
方法调用隐藏 - Quixxi 也可以隐藏方法调用,用原生方法调用填充其函数体声明。这样会大大降低代码对攻击者的可读性,从而保护业务逻辑的直观理解。
动态派生加密密钥 - Quixxi 不会在应用程序中存储用于加密字符串的密钥,并且用于解密加密字符串的密钥会因应用程序而异。此外,不同的密钥将处理不同的内容。
随机化 - Quixxi 将用不可理解的标签替换原始变量和方法的标签,这些标签对于每个应用程序都不同,以便使调用序列唯一且不可预测。
欺骗技术 - Quixxi 将通过多种方式插入欺骗性 Android 代码来愚弄攻击者并增加破解难度。
库保护 - Quixxi 还可以将其效果应用于 Android 库,支持 aar 和 jar 文件。只需简单的拖放操作,库代码将被移至原生层。
移除调试日志 - Quixxi 将移除 Android 日志,因为它们可能为成功的黑客攻击提供线索。
静态资源加密 - Quixxi 将能够加密 Android 应用中使用的图像。
篡改检测
Quixxi Shield 利用先进的技术来检测最终用户运行的应用的真实性。我们的安全引擎确保您和诚实的用户不会轻易受到侵害。
威胁检测 - 当运行时威胁试图破坏您选择的安全配置时,Quixxi 会自动终止您的应用实例,直接在门户网站上提供攻击者和违规详情。
应用完整性检查 - Quixxi 将双重检查您的应用是否已被修改,并在发生这种情况时关闭应用,从而防止最终用户面临任何风险。
应用内购买保护 - Quixxi 将保护您的应用,并防御应用内购买逻辑被规避。开始为您销售的高级功能收款!
移除调试日志 - Quixxi 将移除 Android 日志,因为它们可能为成功的黑客攻击提供线索。
静态资源加密 - Quixxi 将能够加密 Android 应用中使用的图像。
运行时保护
许多攻击是通过尝试利用运行时漏洞进行的。即使没有发生盗版,您也可能需要阻止用户违反规则。当应用运行的条件不满足时,Quixxi 可以远程终止应用实例。
证书固定 - Quixxi 可以帮助正确实施客户端应用在联系服务器时预期的证书验证,当匹配不发生时,阻止会话启动。
Root/越狱检测 - Quixxi 可以检测应用是否在已 root/越狱的手机上运行,在这种手机上,由于对官方操作系统进行了篡改,可能会暴露过多的数据。最终用户最终将被退出应用,以确保他们的安全。
模拟器检测 - Quixxi 可以检测是否有人尝试在模拟器中运行应用以分析您的应用,并关闭应用以停止此过程。
附加调试器检测 - Quixxi 可以检测是否已将调试器附加到应用,以便在运行时检查其变量并评估其表达式。在这种情况下,应用程序将立即终止。
恶意软件检测 - Quixxi 可以在应用启动时快速检测运行应用的手机是否安装了恶意软件,并使其无法访问,从而避免对您的业务和/或最终客户造成损害的后果。
运行时资源加密 - Quixxi 可以加密您的 iOS 应用在运行时生成的文件以及“共享偏好设置/用户默认设置”,否则这些文件在已 root/越狱的设备上很容易被访问。
不当应用使用防护 - Quixxi 能够以最小的代码集成,向所有违反社区规则、公平使用政策、条款和条件或纯粹常识的应用用户发送消息/阻止/解除阻止。
监管
Quixxi 许可 SDK 列出了所有非法用户——禁止他们使用您的应用——并允许您向他们发送推送通知以实施转化策略。分析 SDK 将为您的用户提供洞察和自定义事件,以跟踪和理解应用发布后的动态。诊断功能将帮助您修复应用,直接从遇到问题的用户那里获取详细信息和调试文件。
许可
许多付费应用被第三方应用商店破解并免费分发。最坏的情况下,这会导致开发者收入损失。最坏的情况下,您应用的名称可能被用作特洛伊木马,将恶意软件侧载到用户的手机上。
许可 SDK 使您能够列出所有非法用户的详细信息。它允许您检查应用是否已从 Google Play 商店、三星 Galaxy 应用商店或亚马逊应用商店下载,并设置策略自动阻止任何运行盗版副本的人。Quixxi 门户将显示每个应用版本和每天的非法用户和转化用户细分。处理盗版的阻止策略已内置,只需从门户网站激活即可生效。
分析
当您发布应用到市场时,了解客户在下载后如何与应用互动,然后利用这些信息来改进用户体验非常重要。
Analytics SDK 帮助您对用户群进行画像,自动检索有关操作系统版本、应用版本、下载商店和用户设备的信息。您还将获得 API 来将电子邮件和国家/地区位置发送到门户网站,如果您决定实现它们。此外,只需几行代码,您就可以添加“自定义事件”,即自定义情况,以进行简单的检查或未来的改进。这些信息将在 Quixxi 门户网站上列出相关详细信息,或按时间段显示在饼图中,以便更快速地浏览。
诊断
Diagnostics SDK 为您——开发者——提供了从 Quixxi 门户下载与每次崩溃相关的最重要调试文件的可能性,就好像您在那个精确的麻烦时刻直接访问了用户的设备一样。
Diagnostics SDK 作为 Analytics SDK 的一部分分发。有了这样的工具,您将获得受每次崩溃影响的用户数量的实时数据,从而最大限度地缩短错误报告和修复之间的时间。对于检测到的每个问题,您都会在 Stack Overflow 网站上找到嵌入式基本解决方案研究。Quixxi 门户还提供了 Diagnostics 细分,其中包含按应用版本、操作系统版本和设备供应商过滤的饼图。