Android應(yīng)用破解及防護是怎樣的

本篇文章為大家展示了Android應(yīng)用破解及防護是怎樣的，內(nèi)容簡明扼要并且容易理解，絕對能使你眼前一亮，通過這篇文章的詳細介紹希望你能有所收獲。

雜多ssl適用于網(wǎng)站、小程序/APP、API接口等需要進行數(shù)據(jù)傳輸應(yīng)用場景，ssl證書未來市場廣闊！成為創(chuàng)新互聯(lián)的ssl證書銷售渠道，可以享受市場價格4-6折優(yōu)惠！如果有意向歡迎電話聯(lián)系或者加微信：028-86922220（備注：SSL證書合作）期待與您的合作！

一、移動APP的安全風(fēng)險

隨著移動開發(fā)技術(shù)的不斷發(fā)展，手機APP已經(jīng)成為了人們生活中密不可分的一部分。但就目前的APP開發(fā)安全現(xiàn)狀來說情況卻不容樂觀，盜版APP、惡意破解、APP劫持、數(shù)據(jù)泄漏、移動業(yè)務(wù)攻擊等等......各種狀況層出不窮。

因此，對于廣大開發(fā)者和企業(yè)來說，移動APP的安全問題亟待解決。常見的安全風(fēng)險包括有山寨危險、重打包風(fēng)險、破解/數(shù)據(jù)泄露、以及登錄安全風(fēng)險。

山寨危險

山寨APP的問題由來已久，實際上，大部分APP都有過被仿冒的經(jīng)歷。據(jù)統(tǒng)計，熱門應(yīng)用平均有27個山寨APP，嚴(yán)重危害到了正版應(yīng)用和用戶的利益。如下圖所示，通過簡單的解包、逆向分析、代碼拷貝、簡單開發(fā)并打包就可以完成山寨應(yīng)用上架，暴利產(chǎn)業(yè)鏈下還有更多的開發(fā)者趨之若鶩，仿冒形式也是多種多樣。

在任意的應(yīng)用商店中搜索“搶紅包”，都會出現(xiàn)大批“克隆”的結(jié)果列表。

重打包風(fēng)險

重打包風(fēng)險主要是指二次打包，通過破解正版的APP進行二次打包上傳至應(yīng)用商城。這種仿冒形式成本低廉、操作簡單，“打包黨”們通過反編譯工具向應(yīng)用中插入廣告代碼與相關(guān)配置，再在第三方應(yīng)用市場、論壇發(fā)布。常見的操作手段比如插入自己廣告或者刪除原來廣告、通過惡意代碼惡意扣費或插入木馬、修改原來支付邏輯等等。

重打包不僅嚴(yán)重危害產(chǎn)品和用戶的利益，還會對公司的口碑產(chǎn)生極度惡劣的影響。如下圖所示，神廟逃亡即被打包黨們進行了二次打包。

破解、數(shù)據(jù)泄露

金融、支付類App一直是數(shù)據(jù)泄露的重災(zāi)區(qū)，多達88%都存在內(nèi)存敏感數(shù)據(jù)泄露問題。如下所示，即為常見的金融、支付類本地存儲數(shù)據(jù)泄漏。

數(shù)據(jù)抓包，泄漏用戶名和密碼也是常見的狀況之一。

登錄安全風(fēng)險

登錄安全也是不容忽視的安全風(fēng)險之一，包括界面劫持風(fēng)險和鍵盤記錄風(fēng)險。

二、移動安全進階

被二次打包，被惡意利用；被破解，敏感信息泄漏；游戲出現(xiàn)外掛，影響收入......諸如此類的惡意手段對于企業(yè)的利益來說破壞性極大，為了保護知識產(chǎn)權(quán)，也為了響應(yīng)《網(wǎng)絡(luò)安全法》
和監(jiān)管部門的要求，提高防護等級、實現(xiàn)安全進階顯得尤為重要。

一般而言，移動安全的進階包括四大步驟：安全監(jiān)測、數(shù)據(jù)保護、代碼保護和多端聯(lián)動。

安全檢測

安全檢測是移動開發(fā)安全防護的第一步，通常需要檢測客戶端程序安全、敏感信息安全、密碼軟鍵盤安全性、安全策略設(shè)置、手勢密碼安全性、通信安全、業(yè)務(wù)功能測試、配置文件、拒絕服務(wù)、本地SQL注入等方面。

而在各威脅類型下，還有各種復(fù)雜的子類也需要加強檢測。

在安全檢測中，最主要的是幫助產(chǎn)品規(guī)避安全風(fēng)險。據(jù)統(tǒng)計，2018年已知的部分移動開發(fā)漏洞包括ZipperDown安全漏洞、Janus簽名漏洞、應(yīng)用克隆漏洞、RCE漏洞、Google Android緩沖區(qū)溢出漏洞......開發(fā)應(yīng)該關(guān)注這些漏洞并想辦法規(guī)避這些風(fēng)險。

數(shù)據(jù)保護

如下圖所示，抓包是數(shù)據(jù)截取中經(jīng)常會用到的手段。所以開發(fā)者需要對帳號、密碼進行加密處理。不過這還遠遠不夠，其中仍會存在通信風(fēng)險，給入侵者以可趁之機。

如下所示，即演示了在帳號、密碼都進行了加密處理的情況下仍能突破保護層竊取數(shù)據(jù)。

某APP登錄過程中敏感信息已經(jīng)加密，攔截A登錄設(shè)備請求RO就能獲取加密后的數(shù)據(jù)，在另外一臺設(shè)備B上攔截登錄請求R1，把RO數(shù)據(jù)填充到R1中，B設(shè)備即可顯示登陸成功。

這種情況下，做好HTTPS雙向認(rèn)證就是很重要的一大步驟了，起碼要做好單向認(rèn)證，就是客戶端校驗服務(wù)端合法證書。首先在服務(wù)端驗證時間戳、設(shè)備信息和IP；在客戶端進行加密，包括敏感信息加密、時間戳、設(shè)備信息和序列號；然后將信息安全存儲到本地存儲之中。在服務(wù)端和客戶端的傳輸中，要注意客戶端要校驗服務(wù)端證書，防止中間人進行劫持攻擊。

輸入保護也是數(shù)據(jù)保護的重要組成部分，開發(fā)者可以開發(fā)自定義的密碼輸入鍵盤。為防截屏、錄屏，建議不要使用手機里自帶的輸入法輸入密碼，以防止鍵盤記錄。

總的來看，數(shù)據(jù)保護可以說是安全保護中最為重要的一步，通信數(shù)據(jù)、存儲數(shù)據(jù)等重要敏感數(shù)據(jù)都需要經(jīng)過加密并加入校驗信息。此外，還有一些安全建議：HTTPS并沒有想象中那么安全，所以建議不要使用自定義加密算法；本機存儲數(shù)據(jù)加密并且拷貝到其它手機不能使用；盡量一機一密、常用設(shè)備登錄.....

代碼保護

基礎(chǔ)的代碼保護方法包括以下五個方面：

• 1、編寫Proguard代碼混淆，SDK也要混淆編寫；

• 2、代碼Native化，將Java轉(zhuǎn)C++、Dex轉(zhuǎn)到so；

• 3、白盒加密，密鑰加密，但不要簡單的把密鑰寫在代碼中；

• 4、去日志化，因為日志會暴露很多代碼邏輯；

• 5、簽名校驗，防止重打包。

除去這些基礎(chǔ)層面外，面對越來越復(fù)雜的入侵方式，一些進階措施也是必備的，包括VMP、資源加密、動態(tài)反調(diào)試、防模擬器、防DUMP、防劫持、防注入......這就需要更全面的APP專業(yè)加固服務(wù)了。

多端聯(lián)動

用戶和APP是交互和反饋的關(guān)系，因此，多端聯(lián)動能夠帶來更好的安全保護效果。

對于APP、后臺、風(fēng)控中心這三者來說，APP通過和用戶交互獲取數(shù)據(jù)，后臺通過手機數(shù)據(jù)向風(fēng)控中心提出安全請求，風(fēng)控中心再通過設(shè)備指紋、黑名單、行為分析和業(yè)務(wù)模型向后臺反饋結(jié)果，后臺通過業(yè)務(wù)調(diào)整控制APP業(yè)務(wù)，并最終呈現(xiàn)給用戶。

最后一步

當(dāng)然這其中，人的安全問題也是比容忽視的。在安全防護中，人是最不可控的風(fēng)險因素，因此要加強人員安全培訓(xùn)和安全管理。

上述內(nèi)容就是Android應(yīng)用破解及防護是怎樣的，你們學(xué)到知識或技能了嗎？如果還想學(xué)到更多技能或者豐富自己的知識儲備，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

分享標(biāo)題：Android應(yīng)用破解及防護是怎樣的
當(dāng)前URL：http://muchs.cn/article46/ippceg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站收錄、品牌網(wǎng)站制作、面包屑導(dǎo)航、網(wǎng)站建設(shè)、網(wǎng)站制作、網(wǎng)站設(shè)計

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)