Android應(yīng)用破解及防護(hù)是怎樣的

本篇文章為大家展示了Android應(yīng)用破解及防護(hù)是怎樣的，內(nèi)容簡(jiǎn)明扼要并且容易理解，絕對(duì)能使你眼前一亮，通過(guò)這篇文章的詳細(xì)介紹希望你能有所收獲。

一、移動(dòng)APP的安全風(fēng)險(xiǎn)

隨著移動(dòng)開(kāi)發(fā)技術(shù)的不斷發(fā)展，手機(jī)APP已經(jīng)成為了人們生活中密不可分的一部分。但就目前的APP開(kāi)發(fā)安全現(xiàn)狀來(lái)說(shuō)情況卻不容樂(lè)觀，盜版APP、惡意破解、APP劫持、數(shù)據(jù)泄漏、移動(dòng)業(yè)務(wù)攻擊等等......各種狀況層出不窮。

因此，對(duì)于廣大開(kāi)發(fā)者和企業(yè)來(lái)說(shuō)，移動(dòng)APP的安全問(wèn)題亟待解決。常見(jiàn)的安全風(fēng)險(xiǎn)包括有山寨危險(xiǎn)、重打包風(fēng)險(xiǎn)、破解/數(shù)據(jù)泄露、以及登錄安全風(fēng)險(xiǎn)。

山寨危險(xiǎn)

山寨APP的問(wèn)題由來(lái)已久，實(shí)際上，大部分APP都有過(guò)被仿冒的經(jīng)歷。據(jù)統(tǒng)計(jì)，熱門應(yīng)用平均有27個(gè)山寨APP，嚴(yán)重危害到了正版應(yīng)用和用戶的利益。如下圖所示，通過(guò)簡(jiǎn)單的解包、逆向分析、代碼拷貝、簡(jiǎn)單開(kāi)發(fā)并打包就可以完成山寨應(yīng)用上架，暴利產(chǎn)業(yè)鏈下還有更多的開(kāi)發(fā)者趨之若鶩，仿冒形式也是多種多樣。

在任意的應(yīng)用商店中搜索“搶紅包”，都會(huì)出現(xiàn)大批“克隆”的結(jié)果列表。

重打包風(fēng)險(xiǎn)

重打包風(fēng)險(xiǎn)主要是指二次打包，通過(guò)破解正版的APP進(jìn)行二次打包上傳至應(yīng)用商城。這種仿冒形式成本低廉、操作簡(jiǎn)單，“打包黨”們通過(guò)反編譯工具向應(yīng)用中插入廣告代碼與相關(guān)配置，再在第三方應(yīng)用市場(chǎng)、論壇發(fā)布。常見(jiàn)的操作手段比如插入自己廣告或者刪除原來(lái)廣告、通過(guò)惡意代碼惡意扣費(fèi)或插入木馬、修改原來(lái)支付邏輯等等。

重打包不僅嚴(yán)重危害產(chǎn)品和用戶的利益，還會(huì)對(duì)公司的口碑產(chǎn)生極度惡劣的影響。如下圖所示，神廟逃亡即被打包黨們進(jìn)行了二次打包。

破解、數(shù)據(jù)泄露

金融、支付類App一直是數(shù)據(jù)泄露的重災(zāi)區(qū)，多達(dá)88%都存在內(nèi)存敏感數(shù)據(jù)泄露問(wèn)題。如下所示，即為常見(jiàn)的金融、支付類本地存儲(chǔ)數(shù)據(jù)泄漏。

數(shù)據(jù)抓包，泄漏用戶名和密碼也是常見(jiàn)的狀況之一。

登錄安全風(fēng)險(xiǎn)

登錄安全也是不容忽視的安全風(fēng)險(xiǎn)之一，包括界面劫持風(fēng)險(xiǎn)和鍵盤(pán)記錄風(fēng)險(xiǎn)。

二、移動(dòng)安全進(jìn)階

被二次打包，被惡意利用；被破解，敏感信息泄漏；游戲出現(xiàn)外掛，影響收入......諸如此類的惡意手段對(duì)于企業(yè)的利益來(lái)說(shuō)破壞性極大，為了保護(hù)知識(shí)產(chǎn)權(quán)，也為了響應(yīng)《網(wǎng)絡(luò)安全法》
和監(jiān)管部門的要求，提高防護(hù)等級(jí)、實(shí)現(xiàn)安全進(jìn)階顯得尤為重要。

一般而言，移動(dòng)安全的進(jìn)階包括四大步驟：安全監(jiān)測(cè)、數(shù)據(jù)保護(hù)、代碼保護(hù)和多端聯(lián)動(dòng)。

安全檢測(cè)

安全檢測(cè)是移動(dòng)開(kāi)發(fā)安全防護(hù)的第一步，通常需要檢測(cè)客戶端程序安全、敏感信息安全、密碼軟鍵盤(pán)安全性、安全策略設(shè)置、手勢(shì)密碼安全性、通信安全、業(yè)務(wù)功能測(cè)試、配置文件、拒絕服務(wù)、本地SQL注入等方面。

而在各威脅類型下，還有各種復(fù)雜的子類也需要加強(qiáng)檢測(cè)。

在安全檢測(cè)中，最主要的是幫助產(chǎn)品規(guī)避安全風(fēng)險(xiǎn)。據(jù)統(tǒng)計(jì)，2018年已知的部分移動(dòng)開(kāi)發(fā)漏洞包括ZipperDown安全漏洞、Janus簽名漏洞、應(yīng)用克隆漏洞、RCE漏洞、Google Android緩沖區(qū)溢出漏洞......開(kāi)發(fā)應(yīng)該關(guān)注這些漏洞并想辦法規(guī)避這些風(fēng)險(xiǎn)。

數(shù)據(jù)保護(hù)

如下圖所示，抓包是數(shù)據(jù)截取中經(jīng)常會(huì)用到的手段。所以開(kāi)發(fā)者需要對(duì)帳號(hào)、密碼進(jìn)行加密處理。不過(guò)這還遠(yuǎn)遠(yuǎn)不夠，其中仍會(huì)存在通信風(fēng)險(xiǎn)，給入侵者以可趁之機(jī)。

如下所示，即演示了在帳號(hào)、密碼都進(jìn)行了加密處理的情況下仍能突破保護(hù)層竊取數(shù)據(jù)。

某APP登錄過(guò)程中敏感信息已經(jīng)加密，攔截A登錄設(shè)備請(qǐng)求RO就能獲取加密后的數(shù)據(jù)，在另外一臺(tái)設(shè)備B上攔截登錄請(qǐng)求R1，把RO數(shù)據(jù)填充到R1中，B設(shè)備即可顯示登陸成功。

這種情況下，做好HTTPS雙向認(rèn)證就是很重要的一大步驟了，起碼要做好單向認(rèn)證，就是客戶端校驗(yàn)服務(wù)端合法證書(shū)。首先在服務(wù)端驗(yàn)證時(shí)間戳、設(shè)備信息和IP；在客戶端進(jìn)行加密，包括敏感信息加密、時(shí)間戳、設(shè)備信息和序列號(hào)；然后將信息安全存儲(chǔ)到本地存儲(chǔ)之中。在服務(wù)端和客戶端的傳輸中，要注意客戶端要校驗(yàn)服務(wù)端證書(shū)，防止中間人進(jìn)行劫持攻擊。

輸入保護(hù)也是數(shù)據(jù)保護(hù)的重要組成部分，開(kāi)發(fā)者可以開(kāi)發(fā)自定義的密碼輸入鍵盤(pán)。為防截屏、錄屏，建議不要使用手機(jī)里自帶的輸入法輸入密碼，以防止鍵盤(pán)記錄。

總的來(lái)看，數(shù)據(jù)保護(hù)可以說(shuō)是安全保護(hù)中最為重要的一步，通信數(shù)據(jù)、存儲(chǔ)數(shù)據(jù)等重要敏感數(shù)據(jù)都需要經(jīng)過(guò)加密并加入校驗(yàn)信息。此外，還有一些安全建議：HTTPS并沒(méi)有想象中那么安全，所以建議不要使用自定義加密算法；本機(jī)存儲(chǔ)數(shù)據(jù)加密并且拷貝到其它手機(jī)不能使用；盡量一機(jī)一密、常用設(shè)備登錄.....

代碼保護(hù)

基礎(chǔ)的代碼保護(hù)方法包括以下五個(gè)方面：

• 1、編寫(xiě)Proguard代碼混淆，SDK也要混淆編寫(xiě)；

• 2、代碼Native化，將Java轉(zhuǎn)C++、Dex轉(zhuǎn)到so；

• 3、白盒加密，密鑰加密，但不要簡(jiǎn)單的把密鑰寫(xiě)在代碼中；

• 4、去日志化，因?yàn)槿罩緯?huì)暴露很多代碼邏輯；

• 5、簽名校驗(yàn)，防止重打包。

除去這些基礎(chǔ)層面外，面對(duì)越來(lái)越復(fù)雜的入侵方式，一些進(jìn)階措施也是必備的，包括VMP、資源加密、動(dòng)態(tài)反調(diào)試、防模擬器、防DUMP、防劫持、防注入......這就需要更全面的APP專業(yè)加固服務(wù)了。

多端聯(lián)動(dòng)

用戶和APP是交互和反饋的關(guān)系，因此，多端聯(lián)動(dòng)能夠帶來(lái)更好的安全保護(hù)效果。

對(duì)于APP、后臺(tái)、風(fēng)控中心這三者來(lái)說(shuō)，APP通過(guò)和用戶交互獲取數(shù)據(jù)，后臺(tái)通過(guò)手機(jī)數(shù)據(jù)向風(fēng)控中心提出安全請(qǐng)求，風(fēng)控中心再通過(guò)設(shè)備指紋、黑名單、行為分析和業(yè)務(wù)模型向后臺(tái)反饋結(jié)果，后臺(tái)通過(guò)業(yè)務(wù)調(diào)整控制APP業(yè)務(wù)，并最終呈現(xiàn)給用戶。

最后一步

當(dāng)然這其中，人的安全問(wèn)題也是比容忽視的。在安全防護(hù)中，人是最不可控的風(fēng)險(xiǎn)因素，因此要加強(qiáng)人員安全培訓(xùn)和安全管理。

上述內(nèi)容就是Android應(yīng)用破解及防護(hù)是怎樣的，你們學(xué)到知識(shí)或技能了嗎？如果還想學(xué)到更多技能或者豐富自己的知識(shí)儲(chǔ)備，歡迎關(guān)注億速云行業(yè)資訊頻道。