您的瀏覽器不支援JavaScript功能,若網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態

img
×  登入
 各類專區
跳到主要內容區塊 目前檢視身分

Mobile App行動安全防護升級包-一年授權

標案名稱108年第一次電腦軟體共同供應契約採購
組  別20
單  位
項  次41
採購數量級距1-40
產  地
評  價

產品功能規格

ARXAN針對OWASP Mobile Top 10中之Improper Platform Usage(不當平台使用如JB/ROOT)、Reverse Engineering(逆向工程)等APP常見風險,以無須變更原始碼之「專利Guards」技術,防護包括程式碼混淆、字串加密、防止Debugger等功能,同時防護動態、靜態的攻擊。

Arxan的設計策略是在Gurads的多層次防護技術上,可提供有效與獨特的防護解決方案,依據所需保護標的選擇對應的Guards並撰寫集合為GuardSpec。

(1). 自動防護機制:防護、偵測、反應
I. 防護(Defend)技術:防護逆向工程反組譯程式碼。在程式執行碼階段進行混淆(obfuscation),程式/字串加密,防監聽(Anti-Debug)與動態隨機執行保護(Guards)
II. 偵測(Detect)技術:防護程式碼竄改與偷取程式碼。包含了checksum確認(竄改偵測)與監聽模式偵測(debugger detection),其中pre-damage Guards功能能夠當應用程式被攻擊時,破壞程式碼區塊。
III. 反應(React)技術:提供客製化防護機制。Reaction Guards可部署在多種區塊模式,如自行修復程式碼被竄改、或發出訊息給其他元件、結束應用程式等多種可自行彈性設計之技術。
(2). 保護特色:
IV. 可針對程式碼以及程式流程做倍數混淆調整。
V. 進階防禦可自行選擇保護之啟動點,如Checksum不一定需要整個檔案進行偵測,降低效能負荷。
VI. Guard防禦難以被駭客追蹤,Guard能夠自行定義執行階段,執行時可以隨機概率的方式被調用。
VII. Guard交替是防護避免單點破解,Guard設計使用交互式網路防護,交叉保護之下Guards有足夠能力保護整 體設計架構。
VIII. 可使用多種防護Guards於單一片段程式碼區塊,其中Guards更能做到互相牽制及保護,Guards可部署多種功能於單一片段,卻可多次執行防護機制,Guards之間並能做到互相牽制及保護。所以當攻擊者辨識出欲攻擊範圍時,需同時將此範圍中的所有Guards移除,除此之外也必須知道這些Guards的設計網路,大幅增加破解的難度及成本。

功能規格/基本需求

1.採購項目如下,皆以APP數量為單位計算需求數量,可擇一項次購買
1.1 GuardIT for Java(G4J)
1.2 EnsureIT for iOS
1.3 TransformIT(TFIT)
2功能
2.1 G4J
※核心特色
*防護與效能可高度彈性調整
*快速、自動多樣化地防護
*提供受保護後的防止應用程式除錯
*可直接編輯與優化GuardSpec
*指令化介面提供整合建置
※防護機制
*防護-防護後能對程式碼進行混淆,有效阻礙駭客進行反組譯程式碼後的閱讀
*偵測-偵測程式碼及資源檔的一致性,以確保程式碼及資源檔未遭竄改、調包。同時也能進行使用者是否獲取最高權限偵測,及環境是否具備攻擊手段的偵測
*反應-提供客製化防護機制。部署在多種區塊模式,如偵測到攻擊/竄改時發出訊息給其他元件、結束應用程式等可自行設計
※透過插入Guards的保護方式,以避免應用程式遭到盜版或篡改
2.2 EnsureIT
※跨平台保護應用程式硬化涵蓋行動裝置的解決方案(ARM處理器),以及不需要更動原始碼及應用程式核心功能
※自動防護機制
*防護-防護逆向工程反組譯程式碼:在程式執行碼階段進行混淆,程式/字串加密,防監聽與動態隨機執行保護
*偵測-防護程式碼竄改與偷取程式碼:包含了一致性確認(竄改偵測)與監聽模式偵測,能夠在應用程式編譯時,破壞程式碼資料,直到執行時再將其復原
*反應-提供客製化防護機制:可部署在多種區塊模式,如自行修復程式碼被竄改、或發出訊息給其他元件、結束應用程式等可自行設計
※於部署時提供自動化、完整性跟可彈性客製化的保護;核心特色:
*可彈性調整-簡單使用與可對於應用程式精確的防護機制
*可攜性-當防護機制設定完畢,隨著應用程式部署到哪保護就跟到哪,且有多層次動態防護的保護
*延展性-支援增加多層次與複雜度的防護
2.3 TFIT
※以White Box Cryptography(WBC)為基礎,結合資料與代碼混淆技術,透過演算法來改變金鑰傳遞與相關運行流程,以破壞攻擊者尋找金鑰的模式。這些金鑰不論是在靜態的應用程式或運行中的記憶體皆不會以原來的形式存在
※核心功能與效益
*強大的演算法-透過WBC演算法從安全的根本方法來實現抵抗攻擊
*易於使用-提供簡易的API方式可整合您的應用程式
*便於攜帶-實作在原始碼層級,當編譯完成保護完成,隨著應用程式部署到任何平台
*提供防禦的安全深度與高攻擊的抵抗力
*有效隱藏金鑰-受保護的金鑰不會在記憶體存在或進行登記過
*可調教性-可於不同金鑰使用不同方法進行保護
*資料混淆-敏感資料可在不解密的情況下被處理和操作
※透過實作多層次防護以硬化應用程式方法(如WBC)再加密區域中抵抗程式碼被拆解分析,可整合前述產品之硬化技術
這些防護技術,是目前市場最強而有力、效能最好且又能兼顧成本效益的產品
3.軟體規格
3.1 G4J
※支援環境
*作業系統
。Windows 7, 8.1, 10
。MacOS 10.10, 10.11, 10.12
*CPU:Intel x86_64-compatible
※目標作業系統
*作業系統:Android 4.1.+ ~ Android 8.0 .+ DP3
*CPU:ARMv5TE、ARMv7A、ARM64v8A、x86
*支援語言:Java
3.2 EnsureIT for iOS
※支援環境-Android
*作業系統:macOS 10.10、10.11、10.12、10.13
*CPU:Intel x86_64-compatible
※支援環境-Apple iOS
*作業系統:macOS 10.11、10.12、10.13
*CPU:Intel x86_64-compatible
※目標系統
*支援環境-Android
。作業系統:Android 4.1 ~ 8.0 for ARMv5TE, ARMv7A;Android 5.0 ~ 8.0 for ARM64v8A:Android 4.1 ~ 8.0 for x86
。CPU:ARMv5TE、ARMv7A、ARM64v8A、x86
。支援語言:C/C+
*支援環境-Apple iOS
。作業系統:Apple iOS:9.0、9.1、9.2、9.3、10.0、10.1、10.2、10.3、11.0;Apple iOS Simulator:10.0、10.1、10.2、10.3、11.0
。CPU:ARMv7s、ARMv7、ARM64、x86 Simulator、x86_64 Simulator
。支援語言:Objective C/C++、Apple Swift 3.0、3.1、3.2、4.0
3.3 TFIT:支援演算法AES、DES、3DES、SHA