本文来自网易云社区

“知物由学”是网易云易盾打造的一个品牌栏目,词语出自汉·王充《论衡·实知》。人,能力有高下之分,学习才知道事物的道理,而后才有智慧,不去求问就不会知道。“知物由学”希望通过一篇篇技术干货、趋势解读、人物思考和沉淀给你带来收获的同时,也希望打开你的眼界,成就不一样的你。当然,如果你有不错的认知或分享,也欢迎通过邮件(zhangyong02@corp.netease.com)投稿。

2018年6月28日,Droidcon2018安卓技术大会在上海如期举行。

Droidcon技术大会于2009年由一个Android爱好者国际研究小组在柏林和伦敦发起,旨在为Android开发工程师、应用人员、创业者以及用户提供一个开放的交流平台。目前已在全球5大洲、26个国家和地区召开,是安卓领域全球最有影响力的技术大会。作为TMT产业的全力推动者和引领者,本届大会北京长风信息技术产业联盟联合世界移动大会,邀请了众多国内外知名企业及安卓领域技术大咖参加,共同探讨安卓技术趋势、热点与应用。

网易移动安全技术专家卓辉受邀参会,发表了主题《Android应用破解及防护进阶之路》的演讲,和与会开发者分享了面对应用山寨、重打包、破解、数据泄露、登录安全风险时,我们该如何解决。

一、移动APP的安全风险

随着移动开发技术的不断发展,手机APP已经成为了人们生活中密不可分的一部分。但就目前的APP开发安全现状来说情况却不容乐观,盗版APP、恶意破解、APP劫持、数据泄漏、移动业务攻击等等......各种状况层出不穷。

因此,对于广大开发者和企业来说,移动APP的安全问题亟待解决。常见的安全风险包括有山寨危险、重打包风险、破解/数据泄露、以及登录安全风险。

山寨危险

山寨APP的问题由来已久,实际上,大部分APP都有过被仿冒的经历。据统计,热门应用平均有27个山寨APP,严重危害到了正版应用和用户的利益。如下图所示,通过简单的解包、逆向分析、代码拷贝、简单开发并打包就可以完成山寨应用上架,暴利产业链下还有更多的开发者趋之若鹜,仿冒形式也是多种多样。

在任意的应用商店中搜索“抢红包”,都会出现大批“克隆”的结果列表。

重打包风险

重打包风险主要是指二次打包,通过破解正版的APP进行二次打包上传至应用商城。这种仿冒形式成本低廉、操作简单,“打包党”们通过反编译工具向应用中插入广告代码与相关配置,再在第三方应用市场、论坛发布。常见的操作手段比如插入自己广告或者删除原来广告、通过恶意代码恶意扣费或插入木马、修改原来支付逻辑等等。

重打包不仅严重危害产品和用户的利益,还会对公司的口碑产生极度恶劣的影响。如下图所示,神庙逃亡即被打包党们进行了二次打包。

破解、数据泄露

金融、支付类App一直是数据泄露的重灾区,多达88%都存在内存敏感数据泄露问题。如下所示,即为常见的金融、支付类本地存储数据泄漏。

数据抓包,泄漏用户名和密码也是常见的状况之一。

登录安全风险

登录安全也是不容忽视的安全风险之一,包括界面劫持风险和键盘记录风险。

二、移动安全进阶

被二次打包,被恶意利用;被破解,敏感信息泄漏;游戏出现外挂,影响收入......诸如此类的恶意手段对于企业的利益来说破坏性极大,为了保护知识产权,也为了响应《网络安全法》
和监管部门的要求,提高防护等级、实现安全进阶显得尤为重要。一般而言,移动安全的进阶包括四大步骤:安全监测、数据保护、代码保护和多端联动。

安全检测

安全检测是移动开发安全防护的第一步,通常需要检测客户端程序安全、敏感信息安全、密码软键盘安全性、安全策略设置、手势密码安全性、通信安全、业务功能测试、配置文件、拒绝服务、本地SQL注入等方面。而在各威胁类型下,还有各种复杂的子类也需要加强检测。

在安全检测中,最主要的是帮助产品规避安全风险。据统计,2018年已知的部分移动开发漏洞包括ZipperDown安全漏洞、Janus签名漏洞、应用克隆漏洞、RCE漏洞、Google Android缓冲区溢出漏洞......开发应该关注这些漏洞并想办法规避这些风险。

数据保护

如下图所示,抓包是数据截取中经常会用到的手段。所以开发者需要对帐号、密码进行加密处理。不过这还远远不够,其中仍会存在通信风险,给入侵者以可趁之机。

如下所示,即演示了在帐号、密码都进行了加密处理的情况下仍能突破保护层窃取数据。某APP登录过程中敏感信息已经加密,拦截A登录设备请求RO就能获取加密后的数据,在另外一台设备B上拦截登录请求R1,把RO数据填充到R1中,B设备即可显示登陆成功。

这种情况下,做好HTTPS双向认证就是很重要的一大步骤了,起码要做好单向认证,就是客户端校验服务端合法证书。首先在服务端验证时间戳、设备信息和IP;在客户端进行加密,包括敏感信息加密、时间戳、设备信息和序列号;然后将信息安全存储到本地存储之中。在服务端和客户端的传输中,要注意客户端要校验服务端证书,防止中间人进行劫持攻击。

输入保护也是数据保护的重要组成部分,开发者可以开发自定义的密码输入键盘。为防截屏、录屏,建议不要使用手机里自带的输入法输入密码,以防止键盘记录。

总的来看,数据保护可以说是安全保护中最为重要的一步,通信数据、存储数据等重要敏感数据都需要经过加密并加入校验信息。此外,还有一些安全建议:HTTPS并没有想象中那么安全,所以建议不要使用自定义加密算法;本机存储数据加密并且拷贝到其它手机不能使用;尽量一机一密、常用设备登录.....

代码保护

基础的代码保护方法包括以下五个方面:

  • 编写Proguard代码混淆,SDK也要混淆编写;
  • 代码Native化,将Java转C++、Dex转到so;
  • 白盒加密,密钥加密,但不要简单的把密钥写在代码中;
  • 去日志化,因为日志会暴露很多代码逻辑;
  • 签名校验,防止重打包。

除去这些基础层面外,面对越来越复杂的入侵方式,一些进阶措施也是必备的,包括VMP、资源加密、动态反调试、防模拟器、防DUMP、防劫持、防注入......这就需要更全面的APP专业加固服务了。

多端联动

用户和APP是交互和反馈的关系,因此,多端联动能够带来更好的安全保护效果。

对于APP、后台、风控中心这三者来说,APP通过和用户交互获取数据,后台通过手机数据向风控中心提出安全请求,风控中心再通过设备指纹、黑名单、行为分析和业务模型向后台反馈结果,后台通过业务调整控制APP业务,并最终呈现给用户。

最后一步

当然这其中,人的安全问题也是比容忽视的。在安全防护中,人是最不可控的风险因素,因此要加强人员安全培训和安全管理。

三、未知的安全风险

技术的发展速度是超乎所有人想象的。在未来,开发者必将面临着更加复杂的安全问题:

  • 物联网快速发展下促生的设备安全;
  • 漏洞风险会持续存在;
  • 身份认证类的安全问题;
  • 敏感数据泄漏问题;
  • 合规类的安全问题;

......
未来的安全风险无论对于业务、还是安全从业者,都是未知的。

基于此,网易云易盾通过自身的网站安全问题发现能力,变“被动通报”为“主动治理”,为广大开发者提供自下而上的全面监测解决方案,极大规避政策风险、避免品牌形象遭受损失,为您的App保驾护航。

原文:知物由学 | 见招拆招,Android应用破解及防护秘籍

欢迎免费试用网易云易盾安全服务。

知物由学 | 见招拆招,Android应用破解及防护秘籍的更多相关文章

  1. Java正则速成秘籍(三)之见招拆招篇

    导读 正则表达式是什么?有什么用? 正则表达式(Regular Expression)是一种文本规则,可以用来校验.查找.替换与规则匹配的文本. 又爱又恨的正则 正则表达式是一个强大的文本匹配工具,但 ...

  2. 见招拆招:绕过WAF继续SQL注入常用方法

    Web Hacker总是生存在与WAF的不断抗争之中的,厂商不断过滤,Hacker不断绕过.WAF bypass是一个永恒的话题,不少基友也总结了很多奇技怪招.那今天我在这里做个小小的扫盲吧.先来说说 ...

  3. 见招拆招-PostgreSQL中文全文索引效率优化

    * { color: #3e3e3e } body { font-family: "Helvetica Neue", Helvetica, "Hiragino Sans ...

  4. 【转】Android 防破解技术简介

    http://www.cnblogs.com/likeandroid/p/4888808.html Android 防破解技术简介 这几年随着互联网的不断发展,Android App 也越来越多!但是 ...

  5. Android逆向破解表单注册程序

    Android逆向破解表单注册程序 Android开发 ADT: android studio(as) 程序界面如下,注册码为6位随机数字,注册成功时弹出通知注册成功,注册失败时弹出通知注册失败. 布 ...

  6. Android逆向破解表单登录程序

    Android逆向破解表单登录程序 Android开发 ADT: android studio(as) 程序界面如下,登录成功时弹出通知登录成功,登录失败时弹出通知登录失败. 布局代码 <?xm ...

  7. 基于NDK的Android防破解& Android防破解 【转载】

    两篇防破解文章转载 基于NDK的Android防破解:http://blog.csdn.net/bugrunner/article/details/8634585 Android防破解:http:// ...

  8. Android 防破解技术简介

    Android 防破解技术简介 这几年随着互联网的不断发展,Android App 也越来越多!但是随之而来的问题也越来越多,这其中比较令人头疼的问题就是:有些不法分子利用反编译技术破解 App,修改 ...

  9. 帮朋友急招PHP、Android开发工程师 西安 工资8k-12k

    PHP高级工程师岗位要求: 1. 有两年以上PHP开发经验, 2. 精通PHP+MySQL程序设计及开发,拥有良好的代码习惯,要求结构清晰,命名规范,逻辑性强,代码冗余率低. 3. 熟悉面向对象的软件 ...

随机推荐

  1. 服务器重复发送SYN ACK 和 TCP_DEFER_ACCEPT设置

    现象: 以下为其他网站提供,和我遇到的情况一样. 就是服务器老是重复发送 SYN, ACK. 4414.229553  client -> server TCP 62464 > http ...

  2. LD_LIBRARY_PATH

    LD_LIBRARY_PATH是Linux环境变量名,该环境变量主要用于指定查找共享库(动态链接库)时除了默认路径之外的其他路径. 在linux下可以用export命令来设置这个值,比如 在linux ...

  3. c++四舍五入的新方法

    将原来的数加上0.5,如果是需要进位的加上0.5就进位了,如果不需要进位的加上0.5也小于1,被int型省略掉.

  4. rm与管道使用

    一 问题初始:用通常意义的管道使用这样可以:(1)ls -l | sed -n '/~$/p' 我用显示出系统自己建立的备份文件这时,我想删除这些文件,我仍然使用了管道,并执行了以下命令(2)ls - ...

  5. dj 分页器组件

    django内置的分页器组件,能够帮我们实现对查询的数据进行自动分页,并返回分页对象 from django.core.paginator import Paginator, EmptyPage Pa ...

  6. vba遗传算法之非一致性突变

    http://www.docin.com/p-959323141-f4.html Sub 非一致性变异() Dim totalGenerate As Integer, currentGenerate ...

  7. JQuery EasyUI 1.5.1 美化主题大包

    https://my.oschina.net/magicweng/blog/833266

  8. RecyclerView怎么能没有ItemClickListener?加一个!

    RecyclerView可以用来代替ListView来展现大量的数据.Google在RecyclerView中提升了性能,和更多好用的API. 简单介绍RecyclerView 使用RecyclerV ...

  9. (转)可伸缩性最佳实践:来自eBay的经验

    转自:http://www.infoq.com/cn/articles/ebay-scalability-best-practices 在eBay,可伸缩性是我们每天奋力抵抗的一大架构压力.我们所做的 ...

  10. noip第9课资料