ภาพรวม
การรักษาความปลอดภัยบนอุปกรณ์เคลื่อนที่ (โทรศัพท์มือถือ) หรือ Mobile Security คือการให้บริการโซลูชั่นการรักษาความปลอดภัยแบบครบวงจรสำหรับแอปพลิเคชั่น ทั้งนี้ ด้วยประสบการณ์ด้านเทคนิคที่สั่งสมมานานหลายปีของ Tencent บวกกับฐานผู้ใช้อุปกรณ์โทรศัพท์มือถือมากกว่า 1,200 ล้านคน ทำให้ Mobile Security นี้สามารถนำเสนอสารพัดบริการ อาทิเช่น การเสริมกำลังแอปพลิเคชั่น, การประเมินความปลอดภัย และการทดสอบความเข้ากันได้เพื่อการใช้งานในหลายอุตสาหกรรม ครอบคลุมถึง การเงิน, อินเทอร์เน็ต, IoV (Internet of Vehicles), IoT (Internet of Things), ISP และ กิจการของรัฐ ด้วยบริการที่มีเสถียรภาพเรียบง่ายและมีประสิทธิภาพ Mobile Security จะช่วยลดความยุ่งยากในการสร้างความปลอดภัยบนอุปกรณ์เคลื่อนที่
ประโยชน์
Scenario-based Protection
Reinforcement
Stability and Reliability
Risk Identification
Practice-driven Development
คุณสมบัติ
การเสริมกำลังของแอปผสานรวมเทคโนโลยีการเสริมกำลังและเทคโนโลยีการป้องกันต่างๆที่กำหนดเป้าหมายไปที่ข้อบกพร่องด้านความปลอดภัยที่แตกต่างกันใน APK โดยไม่ต้องแก้ไขคำสั่งเขียนโปรแกรม (source code)ของแอปแอนดรอยด์ ดังนั้น จึงปรับปรุงยกระดับความปลอดภัยโดยรวมของแอปผ่านคุณสมบัติต่อไปนี้ : การป้องกันการแยกไฟล์สำหรับ DEX, การป้องกันการแยกไฟล์สำหรับไฟล์สกุล.so, การป้องกันการปลอมแปลงสำหรับแอปและการป้องกันการดีบั๊ก (จุดบกพร่องหรือความผิดพลาดในโปรแกรมคอมพิวเตอร์) สำหรับแอปต่างๆ
ทั้งนี้ เพื่อให้แน่ใจว่าคำสั่งเขียนโปรแกรม (source code) จะไม่รั่วไหล การทำให้ source code สับสนจะปรับปรุงความปลอดภัยโดยรวมของแอปด้วยวิธีการต่างๆ ยกตัวอย่างเช่น การทำให้สับสน (obfuscation), การเข้ารหัส (encryption), และการจำลองเสมือน (virtualization) ซึ่งทำให้source code สามารถปรับขนาดได้, มีเสถียรภาพ และทนทานต่อการวิเคราะห์ นอกจากนี้ ยังรองรับการเข้ารหัสสตริง (string encryption), การเข้ารหัสสัญลักษณ์ (symbol encryption) และ การสุ่มตรรกะ (logic scrambling)
การประเมินความปลอดภัย อิงจากปริมาณมหาศาลของบิ๊กดาต้าด้านความปลอดภัยของ Tencent และเครื่องมือตรวจสอบความปลอดภัยชั้นนำ โดยการสแกนความปลอดภัยของแอปครอบคลุมหกมิติ คือ แอปความปลอดภัย, แอปความปลอดภัยแหล่งที่มาของไฟล์, ความปลอดภัยของส่วนประกอบ, ความปลอดภัยการส่งผ่านข้อมูลสื่อสาร, ความปลอดภัยในการจัดเก็บข้อมูลในคลัง และการป้องกันความเสี่ยง โดยการประเมินความปลอดภัยจะตรวจสอบความเสี่ยงของแอปมือถืออย่างครอบคลุม เพื่อให้แน่ใจว่าผู้ใช้จะได้รับประสบการณ์ที่ราบรื่น
การตรวจจับ SDK ของบุคคลที่สามในแอปจะคอยติดตามสังเกต SDK ของบุคคลที่สามแบบไดนามิกขณะที่แอปกำลังทำงานอยู่ เมื่อ SDK ของบุคคลที่สามร้องขอคำอนุญาตที่อ่อนไหวหรือเข้าถึงไฟล์ข้อมูลที่ละเอียดอ่อน ระบบดังกล่าวจะวิเคราะห์ว่าพฤติกรรมดังกล่าวถูกต้องตามกฎหมายและเป็นไปตามข้อกำหนดหรือไม่ โดยถ้าหากไม่ชอบด้วยกฎหมายแล้ว ระบบก็จะบล็อก บันทึก และรายงานไปยังระบบการจัดการหลังบ้านเพื่อป้องกันไม่ให้ข้อมูลที่อ่อนไหว ข้อมูลส่วนตัวของผู้ใช้ และสิทธิ์อนุญาตแอปพลิเคชั่นถูกขโมยไป ทั้งนี้ การตรวจสอบ SDK ของบุคคลที่สามแบบ In-app มีคุณสมบัติหลัก 5 ประการได้แก่ การติดตามตรวจสอบสิทธิอนุญาต, การติดตามตรวจสอบการรวบรวมข้อมูลผู้ใช้, การติดตามตรวจสอบปริมาณการใช้งาน (ทราฟฟิก), การติดตามตรวจสอบระบบหลังบ้าน (backdoor) และการตรวจสอบ SDK ที่เป็นอันตราย
- App Reinforcement
- Security Evaluation
- Compatibility Testing
การเสริมกำลังของแอปผสานรวมเทคโนโลยีการเสริมกำลังและเทคโนโลยีการป้องกันต่างๆที่กำหนดเป้าหมายไปที่ข้อบกพร่องด้านความปลอดภัยที่แตกต่างกันใน APK โดยไม่ต้องแก้ไขคำสั่งเขียนโปรแกรม (source code)ของแอปแอนดรอยด์ ดังนั้น จึงปรับปรุงยกระดับความปลอดภัยโดยรวมของแอปผ่านคุณสมบัติต่อไปนี้ : การป้องกันการแยกไฟล์สำหรับ DEX, การป้องกันการแยกไฟล์สำหรับไฟล์สกุล.so, การป้องกันการปลอมแปลงสำหรับแอปและการป้องกันการดีบั๊ก (จุดบกพร่องหรือความผิดพลาดในโปรแกรมคอมพิวเตอร์) สำหรับแอปต่างๆ
ทั้งนี้ เพื่อให้แน่ใจว่าคำสั่งเขียนโปรแกรม (source code) จะไม่รั่วไหล การทำให้ source code สับสนจะปรับปรุงความปลอดภัยโดยรวมของแอปด้วยวิธีการต่างๆ ยกตัวอย่างเช่น การทำให้สับสน (obfuscation), การเข้ารหัส (encryption), และการจำลองเสมือน (virtualization) ซึ่งทำให้source code สามารถปรับขนาดได้, มีเสถียรภาพ และทนทานต่อการวิเคราะห์ นอกจากนี้ ยังรองรับการเข้ารหัสสตริง (string encryption), การเข้ารหัสสัญลักษณ์ (symbol encryption) และ การสุ่มตรรกะ (logic scrambling)
รูปแบบการใช้
- App Testing Phase
- App Release Phase