امنیت برنامه های موبایل اندرویدی – DexGuard

DexGuard: پیشرفته ترین نرم افزار امنیتی برای برنامه های اندروید

بسیاری از دستگاه های ارتباطی همراه از سیستم عامل اندروید بهره می برند و از سوی دیگر بسیاری از کسب و کارها نیز برنامه ها و اپلیکیشن های مختلفی را بر روی این بستر تهیه نموده اند. اما استفاده از این سیستم عامل بدون ریسک نیست! یکی از این ریسک ها در این سیستم عامل ها وجود ابزارهای هک رایگان است که به راحتی به مهاجمین اجازه می دهند یک اپلیکیشن را مهندسی معکوس کرده و از آن سوء استفاده نمایند و یا حتی آن را به یک ابزار جاسوس برای ارسال بدون مجوز داده های شخصی کاربران برای خود تبدیل کنند.

سرقت اطلاعات، دسترسی به حساب های کاربری افراد، پی بردن به مکان شخص و خواندن پیام های شخصی تنها بخشی از آسیب پذیری های احتمالی تلفن ها و سایر ابزار هوشمند همراه است که بموجب نصب نرم افزارهای مخرب بوجود می آید.

برای رفع این مشکل و بسیاری از تهدیدات دیگر که در ادامه به آنها اشاره می گردد، ابزار DexGuard محصول شرکت گارداسکوئر با نمایندگی انحصاری شرکت آشنا ایمن در ایران، ویژگی های امنیتی پیشرفته ای را در اختیار شما به عنوان صاحب کسب و کار و یا توسعه دهنده اپلیکیشن/SDK قرار می دهد. این ابزار از برنامه های شما در برابر حملات و تحلیل ایستا (بویژه مهندسی معکوس) و همچنین حملات پویا که در زمان اجرای برنامه بوقوع می پیوندند، محفاظت می کند. این ابزار پکیج APK و یا SDK شما را در برابر شبیه سازی ، کپی برداری، تغییر و یا استخراج کلیدهای امنیتی استفاده شده در برنامه توسط دیگران مقاوم و امن میکند و به آنها اجازه سوء استفاده را نمی دهد.

همچنین DexGuard از برنامه شما در مقابل تجزیه و تحلیل های پویا (Runtime Application Self-Protection or RASP) محافظت کرده و با بررسی اعتبار مجوزها و محیط اجرایی برنامه، از تغییرات در برنامه حین اجرا پیشگیری می کند.

ترکیب این لایه های امنیتی بالاترین سطح امنیت را برای اپلیکیشن های موبایلی فراهم می آورد. این امنیت به ویژه در برنامه هایی که در حوزه های بانکداری، تجارت الکترونیک، سلامت و شبکه های اجتماعی در اختیار کاربران قرار می گیرد، بدلیل آنکه اطلاعات شخصی افراد را مورد استفاده قرار می دهد بسیار حائز اهمیت است.

تفاوت میان دو محصول DexGuard و ProGuard در چیست؟

ارتقای ProGuard به DexGuard - ابزار امن سازی اپلیکیشن های اندرویدی

1 2 3 4 5 6 7 8 9

چرا Proguard برای امن سازی اپلیکیشن های اندرویدی کفایت نمی کند؟

باورهای اشتباه متداول در خصوص امنیت پلتفرم های موبایل

توسعه یک برنامه امن با DexGuard بسیار آسان است

DexGuard شما را کمک میکند تا تنها بر روی توسعه اپلیکیشن خود تمرکز کنید و امنیت آن را به ما بسپارید تا با بهره جستن از پیشرفته‌ترین فناوری و تکنیک‌های امنیتی، در زمان، انرژی و سرمایه شما صرفه جویی شود.
DexGuard چندین لایه محافظتی را به APK یا SDK شما اضافه مینماید که هر کدام از این لایه ها چند بخشی می باشند؛ به این مفهوم که روش پیاده سازی در یک لایه با روش پیاده سازی در لایه قبلی متفاوت است.
DexGuard نسخه کاملتر ProGuard است. اگر تجربه کار با ProGuard را در Android Studio دارید، به راحتی با DexGuard هم کار خواهید کرد. به شما اطمینان می دهیم که از کار با DexGuard شگفت زده خواهید شد!
DexGuard شما را قادر به انطباق سیاست های امنیتی با نیازها و عملکرد برنامه مورد نظر می سازد. همچنین قادر خواهید بود تا الگوریتم های اختصاصی رمزگذاری و رمزگشایی برای کد خود در نظر بگیرید.
DexGuardبه طور کامل با تمام ابزارهای تولید و توسعه اپلیکیشن های موبایلی (Gradle, Android Studio, Ant, Eclipse, Maven and custom builds, Unity) سازگار است.
DexGuard شما را در مبهم سازی، بهینه سازی، رمزنگاری، تبدیل کردن کد به کدهای Dalvic، بسته‌بندی ، نشانه گذاری و مرتب کردن آرشیوها یاری می کند. این بهینه سازی بصورت ساده و سریع انجام خواهد شد.
DexGuard کد ساده و اولیه شما را دریافت کرده و تمامی فرایندهای مورد نیاز را بر روی آن انجام می دهد. به زبان ساده تر شما نیاز به هیچ تغییری در کد اپلیکیشن خود ندارید.

ویژگی های خلاقانه DexGuard

مقاوم سازی سورس کد اپلیکیشن – جلوگیری از مهندسی معکوس

اولین قدم برای امنیت برنامه یا SDK اندرویدی، مقاوم سازی آن در زمانی است که هنوز برنامه نصب و اجرا نشده است (به اصطلاح جلوگیری از حملات/تحلیل ایستا یا Static Analysis). این ویژگی باعث می شود که مهاجمین نتوانند با استفاده از روش های مهندسی معکوس و بررسی سورس کد، به آسیب پذیریهای احتمالی که درون آن وجود دارد، پی برده و بر اساس آن اقدام به طراحی کدهای مشابه یا مخرب کنند.

حل این مشکل با DexGuard بصورت زیر است:

مبهم سازی (Obfuscation) اسامی، روالهای محاسباتی، جریان کنترلی، کدهای پایه، توابع کتابخانه ای و روش های فراخوانی و منابع
رمزنگاری کلیه المانها نظیر (کلاس ها، برنامه های Cordova/Phonegap، رشته ها، asset ها، فایل های منبع، وب نماهای سفارشی و غیره

DexGuard_runtime_application_self-protection

محافظت خودکار در زمان اجرا (RASP)

دومین لایه حفاظتی مربوط به زمانی می شود که برنامه شما در حال اجرا و ارائه خدمات می باشد. در این زمان مهاجمین می توانند با جمع آوری اطلاعات و مطالعه رفتار برنامه، آسیب پذیریهای آن را شناسایی کنند. لایه امنیتی دوم اپلیکیشن را در برابر حملات پویا محافظت می کند. این کار به شکلهای زیر انجام می شود:

شناسایی محیط های نا امن نظیر Debugger ، Emulator یا محیط روت شده
کنترل عدم تغییر پکیج Tamper Detection، File Checker
پیاده سازی راهکار امنیتی SSL Pinning
بررسی اعتبار Certification ها

بهینه سازی و کاهش حجم سورس کد

امن سازی برنامه الزاماً به معنای کم کردن سرعت اجرای آن نیست، بلکه با استفاده از DexGuard، علاوه بر آنکه اپلیکیشن شما امن خواهد شد، سرعت اجرای آن نیز با رفع و بهینه سازی مشکلات ساختاری، بصورت محسوسی افزایش خواهد یافت. این بهینه سازی شامل موارد زیر است:

حذف کدهای افزونه مازاد، بخشهای حجیم و استفاده نشده Logها در کد و کتابخانه های محلی
شکستن فایل های DEX با حجم زیاد به فایلهای کوچکتر
بهینه سازی فایل ها و کدها

افزونه های DexGuard

با اضافه کردن افزونه های اختیاری (add-ons) می توانید قابلیتهای دلخواه را بر روی DexGuard توسعه دهید. برخی از این افزونه ها عبارتند از:

DexGuard NDK

افزونه Android NDK (Native Development Kit) به شما این امکان را می دهد تا کتابخانه های محلی را در سطح پیشرفته ای با استفاده از رمزنگاری رشته ها و پیچیده کردن محاسبات، امن کنید.

WhiteBox Cryptography

شما می توانید با استفاده از یک SDK برنامه ی خود را با استفاده از الگوریتم AES رمزگذاری و رمز گشایی کنید. این کار بصورت جعبه سفید (whitebox)و بر روی داده های پویا (Dynamic Data) انجام می شود.

Secure Keyboard

شما می توانید با استفاده از یک SDK برای برنامه خود یک صفحه کلید مجازی و امن تعریف کنید تا از ثبت کننده های صفحه کلید در امان باشید.

Device Fingerprinting

با استفاده از این SDK برای هر ابزار هوشمند یک مشخصه تعریف می شود تا ریسک تراکنشها و اطلاعات حساس بر اساس این مشخصه قابل مدیریت کردن باشد.

چگونگی عملکرد DexGuard جهت جلوگیری از مهندسی معکوس

چگونگی ارتقای ProGuard به DexGuard

به روزرسانی آخرین نسخه

تیم فنی تولیدکننده DexGuard به صورت مستمر اقدام به انتشار نسخه های به روزرسانی برای این ابزار قدرتمند می نماید. معمولا در هر یک از نسخه های جدید، علاوه بر بهینه سازی عملکرد، ویژگی ها و امکانات جدیدی نیز به این ابزار اضافه می شود. در ادامه به تغییرات و همچنبن امکانات و عملکردهای اضافه شده در نسخ مختلف اشاره شده است. لازم به ذکر است که نسخه های جدید به صورت رایگان از طریق پرتال مشتریان در اختیار کلیه مشتریان دارای لایسنس معتبر قرار می گیرد.

نسخه 8.6

زمان انتشار: فروردین ماه سال 1399

اصلی ترین امکانات امنیتی اضافه شده:

پشتیبانی از پلتفرم Unity: در نسخه جدید دکسگارد، ویژگی های مختلف امن سازی نظیر مبهم سازی ها، رمزنگاری، و همچنین موارد مربوط به شناسایی دستگاه های روت و فریم ورک های Hooking در خصوص اپلیکیشن های بازی که با پلتفرم محبوب Unity توسعه داده شده اند نیز قابل اعمال است.
مبهم سازی Metadata در Unity: با توجه به وجود اطلاعات محرمانه در متاداده های ایجاد شده در Unity، در تسخه جدید امکانات مبهم سازی Metadata مخصوص Unity اضافه شده است
مبهم سازی Metadata در Kotlin: کامپایلر Kotlin با توجه به ماهیت عملکردی خود، متاداده و کدهای مختلفی را در کلاس های خود اضافه می نماید که ممکن است حاوی اطلاعات محرمانه باشد. در این نسخه امکان مبهم سازی Metadata های Kotlin مانند سایر بخش های کد فراهم می باشد.

دیگر تغییرات و امکانات اضافه شده:

Debug Blocker: جهت جلوگیری و شناسایی اتصال debugger های احراز هویت نشده به برنامه، قابلیت بلاک کردن آنها در نسخه جدید دکسگارد با تکنیک های جدید ارتقا یافته است.
ارتقای عملکرد در Optimization: قابلیت بهینه سازی و Optimization در این نسخه ارتقا یافته است. طوریکه این عملیات بویژه برای اپلیکیشن هایی که از حجم بزرگتری برخوردار هستند در مدت زمان کوتاه تری انجام میگردد.
پشتیبانی از آخرین نسخه Android Gradle Plugin: دکسگارد همواره در به روزرسانی های جزئی و اصلی خود، از آخرین نسخه های ارائه شده Gradle Plugin پشتیبانی می نماید. در زمان انتشار این متن آخرین نسخه 3.6 می باشد.

نسخه 8.5

زمان انتشار: مرداد ماه سال 1398

اصلی ترین امکانات امنیتی اضافه شده:

استفاده از D8 برای تبدیل dex: در نسخه جدید دکسگارد، از D8 ابزار تبدیل dex به صورت پیشفرض استفاده می گردد که این تغییر موجب کاهش استفاده از مموری در زمان ساخت اپلیکیشن و همچنین بهینگی در زمان اجرای برنامه می گردد.

دیگر تغییرات و امکانات اضافه شده:

ارتقای قابلیت Multidex: قابلیت فعلی Multidex به صورت قابل توجهی بهینه شده و با توجه به استانداردهای Gradle ارتقا یافته است. این امر باعث می شود مهاجرت برای استفاده از محصول به صورت ساده تر انجام شود.
Java Script Obfuscation: قابلیت درهم ریزی (Obfuscation) کدهای جاوا اسکریپت که در نسخه پیش ارائه شد، در این نسخه به صورت قابل توجهی ارتقا یافته و دو قابلیت Scope aware shrinking و configuration debugging به آن اضافه شده است.
ارتقای سازگاری با Crashlytics و Gradle: در این نسخه با آخرین به روزرسانی های Gradle نسخه (5+) و همچنین Crashlytics نسخه (+1.31.0) سازگاری وجود دارد.
ابزار جدید: قابلیت استفاده از Command Line به منظور ایجاد کلیه دستورات مورد نیاز و از طرفی عدم تغییر فایل AAR توسط دکسگارد، اضافه گردید.

نسخه 8.4

زمان انتشار: اسفند ماه سال 1397

این نسخه دکسگارد قابلیت امن سازی کد را با استفاده از درهم ریزی (Obfuscation) کدهای جاوا اسکریپت گسترش می دهد، تا با استفاده از این قابلیت، از برنامه های ترکیبی (Hybrid) ساخته شده با فریم ورک های معروفی همچون Cordova ، Ionic و React Native برای استفاده در سیستم عامل های مختلف محافظت کند.

اصلی ترین امکانات امنیتی اضافه شده:

Java Script Obfuscation: دکسگارد از این پس علاوه بر پشتیبانی از بایت کد، کدهای بومی، فایل های منابع و Assetها، از کدهای جاوا اسکریپت نیز برای درهم ریزی پشتیبانی می نماید. در واقع دکسگارد علاوه بر درهم ریزی، فرآیند بهینه سازی کدهای جاوا اسکریپت را نیز انجام می دهد. این کدهای میتوانند به صورت جزئی در برنامه استفاده شده باشند و یا خروجی فریم ورک های چند پلتفرمی نظیر Cordova ، Ionic و React Native باشند.
ارتقای قابلیت تشخیص Hook: دکسگارد به منظور مقابله با تکنیک های مهندسی معکوس که خود را هر روزه بصورت فزاینده ای تقویت می کنند، به طور مداوم به روز می شود. مکانیزم تشخیص Hook در دکسگارد نیز در حال حاضر طیف قابل توجهی از فریم ورک های Hook را (شامل Magisk) شناسایی کرده و حتی با مواردی که سعی در مخفی سازی حضور خود را دارند به طور موثری مقابله می نماید.

نسخه 8.3

زمان انتشار: آذر ماه سال 1397

اصلی ترین امکانات امنیتی اضافه شده:

Code Virtualization: مجازی سازی کد پیاده سازی متدها را از طریق ایجاد VMS های تصادفی، به اینستراکشن ها تبدیل می کند. این تکنیک مکمل سایر روش های امنیتی نظیر رمزگذاری کلاس ها و درهم ریزی جریان فرآیندی برنامه می باشد.
GSON Optimization: بسیاری از توسعه دهندگان اندروید برای ایجاد رشته های JSON به کتابخانه GSON گوگل تکیه می کنند. اکنون دکسگارد استفاده از کتابخانه GSON را بهینه کرده و مشکلات قبلی در درهم ریزی آنها را برطرف نموده است.

دیگر تغییرات و امکانات اضافه شده:

پشتیبانی از App Bundles: دکسگارد اکنون از App Bundles پشتیبانی می کند. این قالب بارگذاری جدید گوگل را قادر می سازد تا برای کاربران نهایی بسته های شخصی‌سازی شده ارائه نماید.
پشتیبانی از اسکیمای V3 امضای APK: دکسگارد از قالب جدید امضا و گواهی نامه های جدید پشتیبانی می کند.
سازگاری با متادیتاهای Google Play: گوگل پلی بطور خودکار متادیتاهای را به تمام برنامه های آپلود شده تزریق می کند. دکسگارد عملکرد شناسایی دست کاری (Tamper Detection) را برای سازگاری با شرایط جدید بهینه نموده است.
سازگاری با امضای Google Play: گوگل پلی می تواند کلیدهای امضای برنامه را مدیریت کرده و از آن برای امضای APK های تحت انتشار استفاده کند. دکسگارد عملکرد شناسایی دست کاری (Tamper Detection) را برای سازگاری با متد جدید امضای گوگل بهینه نموده است.
پشتیبانی از Espresso: دکسگارد از فریم ورک تست Espresso پشتیبانی می نماید.
Android Thing Samples: دکسگارد به صورت کامل از راه کارهای IOT گوگل پشتیبانی می نماید.

نسخه 8.2

زمان انتشار: اردیبهشت ماه سال 1397

اصلی ترین امکانات امنیتی اضافه شده:

File tamper detection: دکسگارد در نسخه جدید، قابلیت شناسایی دستکاری (Tamper detection) خود را به شناسایی هر گونه تغییر بر روی فایل های مدنظر افزایش داده است.
Hardened native library loading: یکی از قابلیت های مهم دکسگارد رمزنگاری کتابخانه های نیتیو است. در نسخه جدید، امن سازی در زمان رمزگشایی و همچنین اجرا بر روی دستگاه کاربر نهایی نیز اعمال می شود.
پلاگین درهم سازی جاوا اسکریپت: دکسگارد در نسخه جدید با استفاده از پلاگین شما را قادر می سازد تا کدهای جاوا اسکریپت را با استفاده از درهم ریزهای (Obfuscators) پیچیده خارجی امن نمایید.

دیگر تغییرات و امکانات اضافه شده:

تنظیمات خودکار کتابخانه: دکسگارد در این نسخه قادر است که به صورت خودکار دستورات و قوانین دکسگارد/پروگارد را برای کتابخانه ها ایجاد نماید.
پشتیبانی بین المللی از API های مربوط به تاریخ و استریم: نسخه های اخیر جاوا و اندروید حاوی API های جدیدی است که با استریم ها و تاریخ ها نعامل دارند. با این وجود دستگاه های قدیمی برای استفاده از این امکانات با محدودیتهایی روبرو هستند. دکسگارد در این نسخه شما را قادر می کند تا از این امکانات در تمامی نسخه های اندروید بهره بگیرید.
بهینه سازی منابع: دکسگارد می تواند حجم تنظیمات منابع را در اپلیکیشن بهینه کرده و کاهش دهد.
بهینه سازی Dex: در این نسخه شما می توانید از پروفایل های عملکردی استفاده نمایید تا بدینوسیله به دکسگارد اجازه دهید تا ساختار فایل های Dex را بهینه نماید. این قابلیت موجب می شود تا زمان لود شدن نرم افزار شما در دستگاه های قدیمی تر کاهش پیدا کند.
بررسی خودکار آخرین به‌روزرسانی: شما در نسخه جدید شاهد اضافه شدن یک پلاگین (اختیاری) جدید هستید که به صورت خودکار اقدام به بررسی و اعلام آخرین به‌روزرسانی موجود می نماید.

نسخه 8.1

زمان انتشار: آذرماه سال 1396

امکانات امنیتی اضافه شده:

Code Packing: دکسگارد در نسخه جدید می تواند کلاس های خاص و حساس برنامه را رمزنگاری کند. این امکان در این نسخه وجود دارد که تمامی بایت کدهای ترکیبی به عنوان یک لایه دیگر امنیتی رمز شوند.

Hook detection: تشخیص حملات هوکینگ یکی دیگر از ویژگی های امنیتی اضافه شده است. در این نسخه قابلیت های امنیتی دکسگارد در زمان اجرا (Runtime) می توانند فریم ورک های هوکینگ نظیر (Xposed و Substratee) را که معمولا برای تغییر رفتار و عملکرد اپلیکیشن ها به صورت غیرمجاز به کار گرفته می شوند، شناسایی نموده و غیرفعال نمایند.

امکانات عملکردی اضافه شده:

پلاگین اندروید استادیو: پلاگین جدید طراحی شده دکسگارد برای Android Studio با ارائه امکاناتی نظیر مشخص نمودن سینتکس، تکمیل اتوماتیک و مشخص نمودن خطاها، توسعه دهندگان را در بکارگیری این ابزار در پروژه های خود یاری می نماید.
تولید برنامه های آنی (Instant App): دکسگارد در نسخه جدید خود این امکان را فراهم نموده است که توسعه دهندگان بدون نیاز به صرف زمان طولانی یا انجام فرآیندهای دستی، پروژه های خود را تبدیل به اپلیکیشن های آنی نمایند. (برای کسب اطلاعات بیشتر به این مقاله رجوع شود.)

تعمیم پشتیبانی:

Java 9: دکسگارد از جاوا 9 پشتیبانی می کند.

درخواست محصول