梆梆安全-安全键盘SDK介绍.pdfVIP

梆梆安全-安全键盘SDK 梆梆安全 移动App输入键盘的安全现状 移动App开发者们，通常会绞尽脑汁的对服务器数据存储安全、客 户端与服务器间的数据通讯安全做很好的加密保护，但他们往往忽略 了数据的第一入口保护--移动App键盘保护。很多开发者们仍习惯于让 他们的App调用Android系统自带（或用户默认设置的）的输入法，而 这将使用户输入的数据裸露在攻击者面前. 移动App输入键盘的安全现状 目前App的输入法键盘主要采用了三种方式：系统默认输入法，自绘 固定键盘和自绘随机键盘。 当用户调用默认的手机输入法时，黑客安装的第三方输入法启动替换 掉系统自带的输入法，我们称之为系统输入法被“劫持”。该输入法键盘 可以直接记录用户输入的数字、字母、符号，并将这些敏感数据送回攻击 者的服务器。 自绘固定键盘，可以避免使用被劫持的系统默认输入，降低敏感数据 泄露的风险，但对于键盘记录的防御能力有限。黑客可以记录到键盘点击 的位置坐标。 自绘随机键盘是安全性最高的输入方式，不仅避免了被第三方输入法 劫持，并且键盘上每次点击位置都是随机的，无法恢复出用户输入的数据。 移动App输入键盘的安全现状 基于键盘输入窃取信息的各类移动安全攻击非常普遍。黑客们通 过反编译一些流行的应用，将键盘钩子（监控程序）捆绑嵌入其中， 二次打包后上传到各个应用市场上扩散传播。当用户安装并运行了这 些受感染的应用时，嵌入的钩子程序就会被激活，悄悄驻留在后台中， 以监控用户通过键盘输入的数据。一些流行的键盘输入攻击包括： 输入数据监听攻击 键盘劫持攻击 键盘截屏攻击 输入数据篡改攻击 破解加密算法 未加密前篡改 窃取输入后存储数据 来自系统底层的内存dump攻击 其他攻击等等 基于自绘随机键盘+App安全加固的双重保护 安全键盘SDK + App安全加固 梆梆安全键盘SDK提供的标准随机分布式虚拟安全键盘，通过安全 键盘对键盘的数据输入过程、数据存储过程、内存数据换算过程 进行全程高级加密，可有效防止数据侦听、键盘劫持、键盘截屏 等攻击行为 梆梆安全键盘SDK的特点 时效性 客户端键盘所需的符号图片及图片URL全部动态产生，并且仅当次有效。这样即使攻击者获取 到了图片URL，也无法通过该URL获取到图片内容。因为图片每次也是动态随机产生，同一数字 的图片每次的MD5也不相同，所以攻击者也无法通过图片二进制来猜测图片的内容。 透明性 用户在客户端输入数据的时候，感觉与使用普通键盘一致，没有差异性。但其实此时客户端并 没有记录客户输入的具体内容，而仅记录了客户点击的图片标识及点击顺序，然后通过服务器 后台来进行解释翻译。翻译的过程完全在服务器后台完成，对客户透明。 安全性 使用了梆梆HTML5安全控件之后，在客户端的整个用户输入生命周期内没有出现用户真实输入的内 容。有效防范了键盘钩子、消息队列钩子、内存Dump、数据监听、数据截取、加密破解等风险。 梆梆安全键盘SDK的优势  密码在内存中全程加密存储 通过高强度的组合加密算法和机制，对安全键盘输入的信息在全流程实施加密，不留下风险空 挡。  防截屏攻击 对于输入时的截屏攻击进行防御，不回显输入信息。  防止从底层驱动分析输入点获取密码 通过键盘位置每次随机布局，数字键盘每次输入后变化，防止从底层驱动分析输入点，从而分 析并获取密码。  防止底层dump攻击内存读取攻击 对于底层的内存dump做了有效防护，防止dump出内存密码明文拷贝等风险。 梆梆安全键盘SDK的优势  密码so文件加壳保护 通过高强度的组合加密算法和机制，对安全键盘输入的信息在全流程实施加密，不留下 风险空挡。  依托加固的安全键盘的自保护 依托加固的安全键盘的自保护 梆梆