Approov 云服务是否对 Approov SDK 进行身份验证?
Approov SDK 本身是根据 作为最佳实践指南的 OWASP 移动应用程序安全验证标准 (MASVS) 构建的。 Approov SDK 使用以下策略(及其他):
- 代码混淆/加固:Approov SDK 本身已被广泛加固,因此它的代码在结构和功能方面使攻击者更加难以理解。
- 加密:强大的加密算法用于保护 Approov SDK 与 Approov 云服务之间交换的所有网络流量、数据存储和其他敏感信息,以及与后端 API 的通信.
- 防篡改措施:这些措施旨在检测和防止 SDK 的代码和数据被篡改。防篡改措施超出了基本的校验和验证范围,包括数据完整性检查和其他二进制保护。
- 运行时保护:Approov 在运行时监控应用程序的行为,检测并响应可疑活动。运行时保护措施包括检测和防止内存操纵、检测和阻止恶意代码注入以及检测和响应异常网络活动。
- 代码最小化:利用 Approov SDK 可减少保护应用程序所需的边界,并且减少攻击面的总体规模和复杂度。通过最小化代码,攻击者更难理解其结构和功能。
- SDK 的证明:作为应用程序身份验证过程的一部分,在应用程序的其余部分获得完全认证之前,SDK本身被证明为真实的。
通过使用这些策略的组合,移动应用程序开发人员可以使攻击者更难以对他们的应用程序进行逆向工程和篡改,从而提高整体安全性并保护敏感数据。使用Approov SDK 的安全性比静态 API 密钥强得多,静态API密钥可以通过静态分析或运行时轻松地被反混淆。