Welche Sprache? Eine Sicherheitsperspektive

Erreichen Sie das höchste Niveau application security mit Entwicklungssprachen, die in native Anwendungen kompiliert werden.

Wenn es um die application security, nicht alle Programmiersprachen sind gleich. Sprachen, die in ein Zwischenformat kompiliert werden, behalten eine erhebliche Menge an Metadaten bei, die, wenn nicht, vorhanden sind verschleiert, kann sein dekompiliert mit handelsüblichen Hacking-Tools.

Mit über 20 Jahren in Application Security, Wir Digital.ai Wenn Sie wissen, dass Sie eine Anwendung so erstellen können, dass sie nativ läuft, überwiegen die Sicherheitsgewinne die Flexibilität von Programmen, die zu Zwischen-, Bytecode- oder interpretierenden Anwendungen kompiliert werden. Wir sind uns darüber im Klaren, dass dies nicht bei jedem Projekt der Fall sein kann. Deshalb haben wir Lösungen für die meisten nativen und fortgeschrittenen Anwendungen.

Flexibilität

Digital.ai bietet eine Vielzahl von Anwendungsabschirmung, Verschleierung und Manipulationsschutz Techniken für Apps, die in nahezu jeder verfügbaren Sprache und Entwicklungsumgebung geschrieben wurden. Kurz gesagt, Digital.ai kann Apps schützen, die geschrieben sind in:

• C
• C + +
• Objective-C
• Swift
• Javac
• Kotlin
• C#/Xamarin/.NET
• Flutter
• Einheit
• JavaScript
• HTML5

Sicherheit

Im Allgemeinen können die umfassendsten Schutzmaßnahmen auf nativen Code angewendet werden. Hier ist der Grund:

• Einige Sprachen wie C# werden in ein Zwischenformat kompiliert. Zwischenformate enthalten eine erhebliche Menge an Metadaten. Diese Metadaten können verwendet werden, um die Anwendung einfacher zurückzuentwickeln. Der Anwendungsschutz kann diese Metadaten verschleiern. Allerdings enthalten native Anwendungen diese detaillierten Metadaten zunächst nicht, wodurch die Notwendigkeit einer Metadatenverschleierung vollständig entfällt und somit die Angriffsfläche verringert wird. Aus dieser Perspektive erfordern native Anwendungen weniger Schutzmaßnahmen und können schneller und einfacher geschützt werden.
• At Digital.ai Wir verstehen, dass es „in der realen Welt“ nicht sinnvoll ist, von unseren Kunden zu erwarten, dass sie komplette Apps in C/C++ entwickeln. Während die Teile der App, die sensible Daten speichern, idealerweise in Muttersprachen geschrieben sein sollten, werden die Benutzeroberfläche und Schnittstellen beispielsweise zu Android-Diensten normalerweise in Java/Kotlin geschrieben. Dies ist sinnvoll und unsere Schutzmaßnahmen können in größerem Umfang auf Java/Kotlin angewendet werden als auf die höchsten und angeblich „flexibelsten“ Sprachen wie Flutter oder Xamarin.
• Werkzeuge das Bedrohungsakteure Die zur Verfügung stehenden Techniken wie Disassembler und Decompiler sind bei höheren Programmiersprachen üblicherweise einfacher anzuwenden und ermöglichen somit schnellere und einfachere Angriffe.
• Das Dekompilieren einer App, die aus einer plattformübergreifenden Sprache erstellt wurde, führt häufig zu Code, der der Originalquelle sehr ähnlich ist. Bei nativem Code gehen bei der Kompilierung und Maschinencodegenerierung viele Informationen verloren. Dies bedeutet, dass selbst wenn eine App ungeschützt ist, deren dekompilierter Code für Bedrohungsakteure schwieriger zu „lesen“ ist, wenn er in nativem Code geschrieben ist.
• Darüber hinaus ist es zwar einfach, Maschinencode in Assembler zu zerlegen, es ist jedoch schwierig, einen dekompilierten Quellcode zu erhalten, der dem Originalcode ähnelt. Durch die Anwendung der Verschleierung zusätzlich zum nativen Code kann die Dekompilierung sogar vollständig verhindert werden.

Im Folgenden finden Sie Beispiele für ungeschützten nativen Code, der dekompiliert wurde, sowie für geschützten nativen Code, der dekompiliert wurde.

Beachten Sie, wie viel Komplexität einer einfachen Spielzeuganwendung leicht hinzugefügt werden kann. Die Vervielfachung der Komplexität durch die Anwendung solcher Transformationen auf reale Apps macht die Arbeit des Angreifers um Größenordnungen schwieriger.

Beispiele für höhere Sprachen

Im Folgenden finden Sie Beispiele für ungeschützten Code auf höherer Ebene sowie geschützten Code auf höherer Ebene:

Obwohl der geschützte Code komplexer ist als der ungeschützte Code, können Verschönerer und Dekompilierer verwendet werden, um dem ursprünglichen Kontrollfluss etwas näher zu kommen, was die Arbeit des Angreifers etwas erleichtert.

Zusammenfassung

Während Digital.ai Apps schützen können, die sowohl in höheren Sprachen geschrieben sind, die zu nativem Code kompiliert werden, als auch in Sprachen, die zu Hybridanwendungen kompiliert werden, die sowohl nativen als auch nicht-nativen Code enthalten. Der umfassendste und beste Schutz gilt ausschließlich für Apps, die in Sprachen geschrieben sind, die zu nativem Code kompiliert werden Code. Wenn ein Unternehmen ausschließlich Sprachen verwenden möchte, um Apps zu erstellen, die den allerbesten Schutz bieten, sehen Sie sich die Sprachenhierarchie im Diagramm unten an. Die von Ihnen gewählte Sprache sollte die Bedürfnisse und Fähigkeiten Ihrer Entwickler mit der Sicherheit in Einklang bringen, die Ihre Apps erfordern.

Um mehr darüber zu erfahren, wie Digital.ai Application Security Wenn Sie Ihrem Unternehmen dabei helfen können, sowohl native als auch fortgeschrittene Anwendungen abzudecken, besuchen Sie unsere Website .