搜索
梆梆安全开发者们,通常会绞尽脑汁的对服务器数据存储安全、客户端与服务器间的数据通讯安全做很好的加密保护,但他们往往忽略了数据的第一入口保护--移动App键盘保护。很多开发者们仍习惯于让他们的App调用Android系统自带(或用户默认设置的)的输入法,而这将使用户输入的数据裸露在攻击者面前.移动App输入键盘的安全现状目前App的输入法键盘主要采用了三种方式:系统默认输入法,自绘固定键盘和自绘随机键盘。当用户调用默认的手机输入法时,黑客安装的第三方输入法启动替换掉系统自带的输入法,我们称之为系统输入法被“劫持”。该输入法键盘可以直接记录用户输入的数字、字母、符号,并将这些敏感数据送回攻击者的服务器。自绘固定键盘,可以避免使用被劫持的系统默认输入,降低敏感数据泄露的风险,但对于键盘记录的防御能力有限。黑客可以记录到键盘点击的位置坐标。自绘随机键盘是安全性最高的输入方式,不仅避免了被第三方输入法劫持,并且键盘上每次点击位置都是随机的,无法恢复出用户输入的数据。移动App输入键盘的安全现状基于键盘输入窃取信息的各类移动安全攻击非常普遍。黑客们通过反编译一些流行的应用,将键盘钩子(监控程序)捆绑嵌入其中,二次打包后上传到各个应用市场上扩散传播。当用户安装并运行了这些受感染的应用时,嵌入的钩子程序就会被激活,悄悄驻留在后台中,以监控用户通过键盘输入的数据。一些流行的键盘输入攻击包括:输入数据监听攻击键盘劫持攻击键盘截屏攻击输入数据篡改攻击破解加密算法未加密前篡改窃取输入后存储数据来自系统底层的内存dump攻击其他攻击等等基于自绘随机键盘+App安全加固的双重保护安全键盘SDKApp安全加固+梆梆安全键盘SDK提供的标准随机分布式虚拟安全键盘,通过安全键盘对键盘的数据输入过程、数据存储过程、内存数据换算过程进行全程高级加密,可有效防止数据侦听、键盘劫持、键盘截屏等攻击行为梆梆安全键盘SDK的特点时效性客户端键盘所需的符号图片及图片URL全部动态产生,并且仅当次有效。这样即使攻击者获取到了图片URL,也无法通过该URL获取到图片内容。因为图片每次也是动态随机产生,同一数字的图片每次的MD5也不相同,所以攻击者也无法通过图片二进制来猜测图片的内容。透明性用户在客户端输入数据的时候,感觉与使用普通键盘一致,没有差异性。但其实此时客户端并没有记录客户输入的具体内容,而仅记录了客户点击的图片标识及点击顺序,然后通过服务器后台来进行解释翻译。翻译的过程完全在服务器后台完成,对客户透明。安全性使用了梆梆HTML5安全控件之后,在客户端的整个用户输入生命周期内没有出现用户真实输入的内容。有效防范了键盘钩子、消息队列钩子、内存Dump、数据监听、数据截取、加密破解等风险。梆梆安全键盘SDK的优势密码在内存中全程加密存储通过高强度的组合加密算法和机制,对安全键盘输入的信息在全流程实施加密,不留下风险空挡。防截屏攻击对于输入时的截屏攻击进行防御,不回显输入信息。防止从底层驱动分析输入点获取密码通过键盘位置每次随机布局,数字键盘每次输入后变化,防止从底层驱动分析输入点,从而分析并获取密码。防止底层dump攻击内存读取攻击对于底层的内存dump做了有效防护,防止dump出内存密码明文拷贝等风险。梆梆安全键盘SDK的优势密码so文件加壳保护通过高强度的组合加密算法和机制,对安全键盘输入的信息在全流程实施加密,不留下风险空挡。依托加固的安全键盘的自保护依托加固的安全键盘的自保护梆梆安全键盘SDK的适用范围系统要求梆梆安全键盘插件须开发者以SDK的方式进行集成。该方案适用于使用C、Java、Lua等多种语言和脚本语言开发的引擎,全面支持所有的移动开发框架和引擎,包括Cocos2d、Unity3D、Worklight、Appcelerator、PhonegapUn等等支持的平台Google™Android1.6—Android4.4.X(包括ART模式),支持所有Android系统支持X86CPU支持阿里云手机、小米定制OS、腾讯定制OS、魅族定制OS等定制系统