中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Android應用破解及防護是怎樣的

發布時間:2022-01-06 18:23:15 來源:億速云 閱讀:139 作者:柒染 欄目:網絡安全

本篇文章為大家展示了Android應用破解及防護是怎樣的,內容簡明扼要并且容易理解,絕對能使你眼前一亮,通過這篇文章的詳細介紹希望你能有所收獲。

一、移動APP的安全風險

隨著移動開發技術的不斷發展,手機APP已經成為了人們生活中密不可分的一部分。但就目前的APP開發安全現狀來說情況卻不容樂觀,盜版APP、惡意破解、APP劫持、數據泄漏、移動業務攻擊等等......各種狀況層出不窮。

因此,對于廣大開發者和企業來說,移動APP的安全問題亟待解決。常見的安全風險包括有山寨危險、重打包風險、破解/數據泄露、以及登錄安全風險。

山寨危險

山寨APP的問題由來已久,實際上,大部分APP都有過被仿冒的經歷。據統計,熱門應用平均有27個山寨APP,嚴重危害到了正版應用和用戶的利益。如下圖所示,通過簡單的解包、逆向分析、代碼拷貝、簡單開發并打包就可以完成山寨應用上架,暴利產業鏈下還有更多的開發者趨之若鶩,仿冒形式也是多種多樣。

在任意的應用商店中搜索“搶紅包”,都會出現大批“克隆”的結果列表。

Android應用破解及防護是怎樣的

重打包風險

重打包風險主要是指二次打包,通過破解正版的APP進行二次打包上傳至應用商城。這種仿冒形式成本低廉、操作簡單,“打包黨”們通過反編譯工具向應用中插入廣告代碼與相關配置,再在第三方應用市場、論壇發布。常見的操作手段比如插入自己廣告或者刪除原來廣告、通過惡意代碼惡意扣費或插入木馬、修改原來支付邏輯等等。

重打包不僅嚴重危害產品和用戶的利益,還會對公司的口碑產生極度惡劣的影響。如下圖所示,神廟逃亡即被打包黨們進行了二次打包。

Android應用破解及防護是怎樣的

破解、數據泄露

金融、支付類App一直是數據泄露的重災區,多達88%都存在內存敏感數據泄露問題。如下所示,即為常見的金融、支付類本地存儲數據泄漏。

Android應用破解及防護是怎樣的

數據抓包,泄漏用戶名和密碼也是常見的狀況之一。

Android應用破解及防護是怎樣的

登錄安全風險

登錄安全也是不容忽視的安全風險之一,包括界面劫持風險和鍵盤記錄風險。

Android應用破解及防護是怎樣的

二、移動安全進階

被二次打包,被惡意利用;被破解,敏感信息泄漏;游戲出現外掛,影響收入......諸如此類的惡意手段對于企業的利益來說破壞性極大,為了保護知識產權,也為了響應《網絡安全法》
和監管部門的要求,提高防護等級、實現安全進階顯得尤為重要。

一般而言,移動安全的進階包括四大步驟:安全監測、數據保護、代碼保護和多端聯動。

Android應用破解及防護是怎樣的

安全檢測

安全檢測是移動開發安全防護的第一步,通常需要檢測客戶端程序安全、敏感信息安全、密碼軟鍵盤安全性、安全策略設置、手勢密碼安全性、通信安全、業務功能測試、配置文件、拒絕服務、本地SQL注入等方面。

而在各威脅類型下,還有各種復雜的子類也需要加強檢測。

Android應用破解及防護是怎樣的

在安全檢測中,最主要的是幫助產品規避安全風險。據統計,2018年已知的部分移動開發漏洞包括ZipperDown安全漏洞、Janus簽名漏洞、應用克隆漏洞、RCE漏洞、Google Android緩沖區溢出漏洞......開發應該關注這些漏洞并想辦法規避這些風險。

數據保護

如下圖所示,抓包是數據截取中經常會用到的手段。所以開發者需要對帳號、密碼進行加密處理。不過這還遠遠不夠,其中仍會存在通信風險,給入侵者以可趁之機。

Android應用破解及防護是怎樣的

如下所示,即演示了在帳號、密碼都進行了加密處理的情況下仍能突破保護層竊取數據。

某APP登錄過程中敏感信息已經加密,攔截A登錄設備請求RO就能獲取加密后的數據,在另外一臺設備B上攔截登錄請求R1,把RO數據填充到R1中,B設備即可顯示登陸成功。

Android應用破解及防護是怎樣的

這種情況下,做好HTTPS雙向認證就是很重要的一大步驟了,起碼要做好單向認證,就是客戶端校驗服務端合法證書。首先在服務端驗證時間戳、設備信息和IP;在客戶端進行加密,包括敏感信息加密、時間戳、設備信息和序列號;然后將信息安全存儲到本地存儲之中。在服務端和客戶端的傳輸中,要注意客戶端要校驗服務端證書,防止中間人進行劫持攻擊。

輸入保護也是數據保護的重要組成部分,開發者可以開發自定義的密碼輸入鍵盤。為防截屏、錄屏,建議不要使用手機里自帶的輸入法輸入密碼,以防止鍵盤記錄。

總的來看,數據保護可以說是安全保護中最為重要的一步,通信數據、存儲數據等重要敏感數據都需要經過加密并加入校驗信息。此外,還有一些安全建議:HTTPS并沒有想象中那么安全,所以建議不要使用自定義加密算法;本機存儲數據加密并且拷貝到其它手機不能使用;盡量一機一密、常用設備登錄.....

代碼保護


基礎的代碼保護方法包括以下五個方面:

  • 1、編寫Proguard代碼混淆,SDK也要混淆編寫;

  • 2、代碼Native化,將Java轉C++、Dex轉到so;

  • 3、白盒加密,密鑰加密,但不要簡單的把密鑰寫在代碼中;

  • 4、去日志化,因為日志會暴露很多代碼邏輯;

  • 5、簽名校驗,防止重打包。

Android應用破解及防護是怎樣的

除去這些基礎層面外,面對越來越復雜的入侵方式,一些進階措施也是必備的,包括VMP、資源加密、動態反調試、防模擬器、防DUMP、防劫持、防注入......這就需要更全面的APP專業加固服務了。

多端聯動

用戶和APP是交互和反饋的關系,因此,多端聯動能夠帶來更好的安全保護效果。

Android應用破解及防護是怎樣的

對于APP、后臺、風控中心這三者來說,APP通過和用戶交互獲取數據,后臺通過手機數據向風控中心提出安全請求,風控中心再通過設備指紋、黑名單、行為分析和業務模型向后臺反饋結果,后臺通過業務調整控制APP業務,并最終呈現給用戶。

最后一步

當然這其中,人的安全問題也是比容忽視的。在安全防護中,人是最不可控的風險因素,因此要加強人員安全培訓和安全管理。

上述內容就是Android應用破解及防護是怎樣的,你們學到知識或技能了嗎?如果還想學到更多技能或者豐富自己的知識儲備,歡迎關注億速云行業資訊頻道。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

四会市| 渭南市| 嘉义县| 临泉县| 当雄县| 正蓝旗| 杭锦后旗| 交城县| 阿图什市| 铁岭县| 阿克| 沙洋县| 固镇县| 双辽市| 遵义县| 连城县| 南投县| 孟州市| 长白| 即墨市| 德格县| 扬中市| 延长县| 宝丰县| 吐鲁番市| 连云港市| 乐昌市| 河西区| 武乡县| 邹城市| 平潭县| 湖南省| 靖安县| 许昌县| 闵行区| 炎陵县| 静安区| 灵石县| 荔波县| 老河口市| 饶阳县|