梆梆安全-安全键盘SDK介绍

梆梆安全-安全键盘SDK
梆梆安全
移动App开发者们，通常会绞尽脑汁的对服务器数据存储安全、客户端与服务器间的数据通讯安全做很好的加密保护，但他们往往忽略了数据的第一入口保护--移动App键盘保护。

很多开发者们仍习惯于让他们的App调用Android系统自带（或用户默认设置的）的输入法，而这将使用户输入的数据裸露在攻击者面前.
目前App的输入法键盘主要采用了三种方式：系统默认输入法，自绘
固定键盘和自绘随机键盘。

当用户调用默认的手机输入法时，黑客安装的第三方输入法启动替换掉系统自带的输入法，我们称之为系统输入法被“劫持”。

该输入法键盘可以直接记录用户输入的数字、字母、符号，并将这些敏感数据送回攻击者的服务器。

自绘固定键盘，可以避免使用被劫持的系统默认输入，降低敏感数据泄露的风险，但对于键盘记录的防御能力有限。

黑客可以记录到键盘点击的位置坐标。

自绘随机键盘是安全性最高的输入方式，不仅避免了被第三方输入法劫持，并且键盘上每次点击位置都是随机的，无法恢复出用户输入的数据。

基于键盘输入窃取信息的各类移动安全攻击非常普遍。

黑客们通过反编译一些流行的应用，将键盘钩子（监控程序）捆绑嵌入其中，二次打包后上传到各个应用市场上扩散传播。

当用户安装并运行了这些受感染的应用时，嵌入的钩子程序就会被激活，悄悄驻留在后台中，以监控用户通过键盘输入的数据。

一些流行的键盘输入攻击包括：输入数据监听攻击键盘劫持攻击
键盘截屏攻击输入数据篡改攻击
破解加密算法未加密前篡改
窃取输入后存储数据来自系统底层的内存dump攻击
其他攻击等等
基于自绘随机键盘+App安全加固的双重保护
+
安全键盘SDK App安全加固
梆梆安全键盘SDK提供的标准随机分布式虚拟安全键盘，通过安全
键盘对键盘的数据输入过程、数据存储过程、内存数据换算过程
进行全程高级加密，可有效防止数据侦听、键盘劫持、键盘截屏
等攻击行为
时效性
客户端键盘所需的符号图片及图片URL全部动态产生，并且仅当次有效。

这样即使攻击者获取
到了图片URL，也无法通过该URL获取到图片内容。

因为图片每次也是动态随机产生，同一数字
的图片每次的MD5也不相同，所以攻击者也无法通过图片二进制来猜测图片的内容。

透明性
用户在客户端输入数据的时候，感觉与使用普通键盘一致，没有差异性。

但其实此时客户端并
没有记录客户输入的具体内容，而仅记录了客户点击的图片标识及点击顺序，然后通过服务器
后台来进行解释翻译。

翻译的过程完全在服务器后台完成，对客户透明。

安全性
使用了梆梆HTML5安全控件之后，在客户端的整个用户输入生命周期内没有出现用户真实输入的内容。

有效防范了键盘钩子、消息队列钩子、内存Dump、数据监听、数据截取、加密破解等风险。

⏹密码在内存中全程加密存储
通过高强度的组合加密算法和机制，对安全键盘输入的信息在全流程实施加密，不留下风险空挡。

⏹防截屏攻击
对于输入时的截屏攻击进行防御，不回显输入信息。

⏹防止从底层驱动分析输入点获取密码
通过键盘位置每次随机布局，数字键盘每次输入后变化，防止从底层驱动分析输入点，从而分析并获取密码。

⏹防止底层dump攻击内存读取攻击
对于底层的内存dump做了有效防护，防止dump出内存密码明文拷贝等风险。

⏹密码so文件加壳保护
通过高强度的组合加密算法和机制，对安全键盘输入的信息在全流程实施加密，不留下风险空挡。

⏹依托加固的安全键盘的自保护
依托加固的安全键盘的自保护
梆梆安全键盘SDK的适用范围
⏹系统要求
梆梆安全键盘插件须开发者以SDK的方式进行集成。

该方案适用于使用C、Java、Lua等多种语言和脚本语言开发的引擎，全面支持所有的移动开发框架和引擎，包括Cocos2d、Unity3D、
Worklight、Appcelerator、PhonegapUn等等
⏹支持的平台
⏹Google™Android 1.6—Android 4.4.X（包括ART模式)，支持所有Android系统
⏹支持X86 CPU
⏹支持阿里云手机、小米定制OS、腾讯定制OS、魅族定制OS等定制系统。