Android敏感数据泄露引发的思考

最新推荐文章于 2024-03-16 14:00:44 发布
最新推荐文章于 2024-03-16 14:00:44 发布
阅读量324 收藏
点赞数
分类专栏: 基础入门 教程 python 文章标签: 后端 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/chenchen5152/article/details/117999479
版权

Android敏感数据泄露引发的思考

1.事件始末

一个清凉的午后,看到一则新闻,关注接口正在被机械式调用,怀疑是有人在使用脚本刷接口(目的主要是从平台导流)。

纳尼?不会吧,一般接口请求是做了加密处理的,除非知道加密的密钥和加密方式,不然是不会调用成功的,一定是感觉错了。当服务端同事把接口调用日志出来时,彻底否定了侥幸心理。

  1. 接口调用频率固定为1s 一次
  2. 被关注者的id每次调用依次加一(目前业务上用户id的生成是按照注册时间依次递增的)
  3. 加密的密钥始终使用固定的一个(正常的是在固定的几个密钥中每次会随机使用一个)

综合以上三点就可以断定,肯定是存在刷接口的行为了。

2.事件分析

既然上述刷接口的行为成立,也就意味着密钥和加密方式被对方知道了,原因无非是以下两点:

  • 内部人员泄露
  • apk被破解

经过确认基本排除了第一点,那就只剩下apk被破解了,可是apk发布出去的包是进行过加固和混淆处理的,难道对方脱壳了?不管三七二十一,自己先来反编译试试。

于是乎从最近发布的版本一个一个去反编译,最后在反编译到较早前的一个版本时发现,保存密钥和加密的工具类居然源码完全暴露了。在这里插入图片描述
炸了锅了,排查了一下这个版本居然未加固过就发布出去了,而且这个加密工具类未被混淆。虽然还不太清楚对方是不是按照这种方式获取的密钥和加密算法,但无疑这是客户端存在的一个安全漏洞。

3.事件处理

既然已经发现了上述问题,那就要想办法解决。

首先不考虑加固,如何尽最大可能保证客户端中的敏感数据不泄露?另一方面即使对方想要破解,也要想办法设障,增大破解难度。

想到这里基本就大致确定了一个思路:使用NDK,将敏感数据和加密方式放到native层,因为C++代码编译后生成的so库是一个二进制文件,这无疑会增加破解的难度。利用这个特性,可以将客户端的敏感数据写在C++代码中,从而增强应用的安全性。 说干就干吧!!!

1.首先创建了加密工具类:

public class HttpKeyUtil {
   
    static {
   
        System.loadLibrary("jniSecret");
    }
    //根据随机值去获取密钥
    public static native String getHttpSecretKey(int index);
    //将待加密的数据传入,返回加密后的结果
    public static native String getSecretValue(byte[] bytes);
}

2.生成相应的头文件:

com_test_util_HttpKeyUtil.h

#include <jni.h>
#ifndef _Included_com_test_util_HttpKeyUtil
#define _Included_com_test_util_HttpKeyUtil
#ifdef __cplusplus
extern "C" {
   
#endif
JNIEXPORT jstring JNICALL Java_com_esky_common_component_util_HttpKeyUtil_getHttpSecretKey
        (JNIEnv *, jclass, jint);
        
JNIEXPORT jstring JNICALL Java_com_test_util_HttpKeyUtil_getSecretValue
        (JNIEnv *, jclass, jbyteArray);

#ifdef __cplusplus
}
#endif
#endif

3.编写相应的cpp文件:

在相应的Module中创建jni目录,将com_test_util_HttpKeyUtil.h拷贝进来,然后再创建com_test_util_HttpKeyUtil.cpp文件
在这里插入图片描述

#include <jni.h>
#include <cstring>
#include <malloc.h>
#include "com_test_util_HttpKeyUtil.h"

extern "C"
const char *KEY1 = "密钥1";
const char *KEY2 = "密钥2";
const char *KEY3 = "密钥3";
const char *UNKNOWN = "unknown";

jstring toMd5(JNIEnv *pEnv, jbyteArray pArray);

extern "C" JNIEXPORT jstring JNICALL Java_com_test_util_HttpKeyUtil_getHttpSecretKey
        (JNIEnv *env, jclass cls, jint index) {
   
    if (随机数条件1) {
   
        return env->NewStringUTF(KEY1);
    } else if (随机数条件2) {
   
        return env->NewStringUTF(KEY2);
    } else if (随机数条件3) {
   
        return env->NewStringUTF(KEY3);
    } else {
   
        return env->NewStringUTF(UNKNOWN);
    }
}

extern "C" JNIEXPORT jstring JNICALL
Java_com_test_util_HttpKeyUt
最低0.47元/天 解锁文章
Android 内存泄漏总结
Yong Ledo的博客
02-09 799
转自:https://github.com/GeniusVJR/LearningNotes/blob/master/Part1/Android/Android%E5%86%85%E5%AD%98%E6%B3%84%E6%BC%8F%E6%80%BB%E7%BB%93.md 内存管理的目的就是让我们在开发中怎么有效的避免我们的应用出现内存泄漏的问题。内存泄漏大家都不陌生了,简单粗俗的讲,就
唯品会Android面试题及参考答案
最新发布
大模型大数据攻城狮的专栏
12-20 952
Android 的四大组件分别是 Activity、Service、Broadcast Receiver 和 Content Provider。Activity 是 Android 应用中最直观的组件,它主要用于实现用户界面。一个 Activity 通常对应一个屏幕的内容。例如,在一个新闻应用中,当用户打开应用看到的新闻列表页面是一个 Activity,当用户点击某条新闻进入新闻详情页面时,这个详情页面又是一个新的 Activity。Activity 之间可以通过 Intent 进行跳转。
网络隐私泄密思考_关于网络状态的思考
07-02 429
劳拉·卡巴格(Laura Kalbag)在《浏览器状态》 2019年登台 我刚从浏览器状态(State of the Browser)回来,伦敦是一个由社区组织的精彩会议,在那里我发表了有关调试CSS Grid的话题。 这次会议有意关注Web标准,而不是最新的工具或框架。 每个演讲者都有各自的专业领域,但是特别成功的是,无论是偶然还是设计,演讲的方式都是通过一个共同的线索无缝地编织在一起的...
[免费专栏] Android安全之利用ADT获取内存中的敏感信息
橙留香Park的博客
08-30 731
转移发布平台通知:将不再在优快云博客发布新文章,敬请移步知识星球... ...
Android 敏感数据泄露引发思考
weixin_38754349的博客
08-31 154
code小生 一个专注大前端领域的技术平台公众号回复Android加入安卓技术群作者:AirSj链接:juejin.im/post/6862732328406351879声明:本文已获A...
Android敏感数据泄露引发思考,【2024Android最新学习路线
m0_57472099的博客
03-16 765
文章所有资料全部已经打包整理好,免费分享给有需要的人,另外小编手头上整理了大量Android架构师全套学习资料,Android核心高级技术PDF文档+全套高级学习资料+视频+2021 BAT 大厂面试真题解析,都是免费分享给大家的,全部都已整理在GitHub上,有需要的朋友可以点击前往领取更多。另外小编手头上整理了大量Android架构师全套学习资料,Android核心高级技术PDF文档+全套高级学习资料+视频+2021 BAT 大厂面试真题解析,都是免费分享给大家的,全部都已整理在。
android tools add native support,Android NDK学习之隐藏敏感信息
weixin_34653651的博客
05-27 163
由于Android应用被反编译后是可以看到里面信息的,而一些敏感信息,比如服务器的ip地址、加密的算法,我们是不希望让别人知道的。如何才能隐藏这些信息呢,就我目前了解,使用Android NDK,把这些数据编译在so文件中,然后通过JNI获取,从而达到保护敏感信息的目的。于是最近几天开始学习Android NDK开发,网上有很多教程,但都太麻烦,一会配置这,一会配置那的,很容易让像我望而却步。在成...
浅谈android数据存储加密
say_from_wen的博客
09-06 5081
写在开头在移动端的开发中,数据安全的问题一直是大家备受关注的,数据加密技术也受到了大家的青睐。项目中也用到了一些,在这里学习总结下,完善下自己的知识,也分享给大家,一起交流!(末尾也会说下自己在项目中的使用) 按可逆性:加密可分为可逆算法和不可逆算法 按对称性:加密可分为对称算法和非对称算法 一般的加密分为以下几种,下面会分别简单讲解原理和其使用方法: Base64编码算法 (可逆) MD5加密
Android App 中隐藏敏感信息
世事,为之则易,不为则难!
08-09 1539
说明           我们开发的Android应用,大部分代码使用Java实现,当应用被反编译之后,一切信息都是暴漏出来的,如果一些信息我们希望不被暴漏出来,如:加密算法的密钥、在各大开放平台申请得到的AppKey、AppSecret等,为了解决这个问题,我们可以使用*.so文件将这些信息隐藏起来,并在Java中使用JNI调用。     实现      首先需要下载NDK
Android常见九大漏洞,附解决建议
键盘的起始页
06-27 2491
​​​Android应用会遇到各种各样的漏洞,如何从细节上了解各种安全隐患,积极采取适当的防御措施便变得尤为重要。为了让大家对Android漏洞有一个非常全面的认识,网易云易盾资深安全工程师徐从祥为大家详细解读常见九大的Android漏洞,供各位学习参考。(如果下面干货内容没有让各位尽兴,欢迎来官网申请相关产品试用,面对面交流,保证解决你的安全难题。)​ 第一大类:AndroidManifest配置相关的风险或漏洞程序可被任意调试风险详情:安卓应用apk配置文件Android Manifest.xml中an
[车联网安全自学篇] Android安全之本地存储敏感信息挖掘「一」
橙留香Park的博客
08-15 454
在日常生活当中保护身份验证令牌、私人信息和其它敏感数据都是移动安全的关键,尤其是公共数据应该是对所有人可用,但敏感数据和私有数据必须加密保护,或者存储在设备存储之外,可以简单的理解为敏感数据含义是取决于APP处理敏感数据的方式。......
DDMS分析应用内存中的敏感信息
Kevin's Blog
08-10 1317
一、介绍 1.1 DDMS   DDMS,安卓调试工具,Android开发环境中调试监控服务。 1.2 环境 root手机一部 Android-SDK Xposed+BuildProp Enhancer插件(个别机型需要) 二、操作 2.1 显示目录树 》》下载配置好 Android-SDK 下载地址:https://www.androiddevtools.cn/ 》》打开DDMS 》》打开后在Devices视图下显示如下(红色框中是目录树) 解决目录树显示问题:(启动显示的此步绕过) 思路:
android 由于使用Intent传送敏感数据(username password)的安全性考虑
u011667349的专栏
12-20 1107
1. android 密码输入框   EditText password; password.setInputType(0x81); 2.在几个Acitivy 中使用Intent传送数据的安全性考虑 方式一:   Intent intent = new Intent();         intent.putExtra("username", nam
Android NDK开发使用以及so文件生成和注意事项
qq_27980611的博客
12-26 1974
Android NDK开发使用以及so文件生成和注意事项 1. NDK以及.so文件简介 本文主要是介绍在Androidstudio中结合NDK开发需要注意的事项以及一些比较重要的知识点,众所周知,so文件在Android的开发中起到很重要的作用,无论是在与底层设备调用还是一些第三方的SDK调用都经常使用到,可以看出so文件的重要性,在Android中NDK就是Android用于编译
Android 敏感权限列表
不会飞的鱼的博客
10-26 5240
敏感权限需要动态申请,具体的敏感权限如下: CALENDAR(日历) READ_CALENDAR WRITE_CALENDAR CAMERA(相机) CAMERA CONTACTS(联系人) READ_CONTACTS WRITE_CONTACTS GET_ACCOUNTS LOCATION(位置) ACCESS_FINE_LOCATION ACCESS_COARSE_LOCATION MICROPHONE(麦克风) RECORD_AUDIO PHONE(手机) READ_
逆向工具分享之ApkAnalyser一键提取安卓应用中可能存在的敏感信息
白帽子九一
05-31 1183
ApkAnalyser 一键提取安卓应用中可能存在的敏感信息。 用法 懒人做法,将所有app放到程序自动创建的apps目录,再运行apkAnalyser.exe主程序就好了,不用加参数。 功能 目前提取了APK内: 所有字符串 所有URLs 所有ip 可能是hash值的字符串 存在的敏感词(如oss.aliyun) 可能是accessKey的值 使用Python开发,依赖于apkutils模块,可执行文件使用pyinstaller打包。 链接:https://github.com/TheKingOfDu
移动安全-Android APP敏感信息测试
道阻且长,行则将至
01-24 3639
文章目录移动金融APP备案Android APP数据存储sdcard 文件SQLite数据库ContentProvidersharedPreferencesAPK客户端敏感信息测试Logcat 运行日志SQLite 数据库sharedPreferences其他本地文件的检查Genymotion模拟器补充 移动金融APP备案 最近在接触新的工作项目——移动金融APP备案,需要对金融 APP 客户端进行安全测试,在此总结记录下相关的部分测试内容和方法。 关于移动金融APP备案, Part1:首先看中国互联网金
android敏感权限库_Android 敏感权限申请
weixin_29721821的博客
01-17 709
packagecom.example.testperms;importandroid.Manifest;importandroid.content.DialogInterface;importandroid.content.Intent;importandroid.net.Uri;importandroid.os.Build;importandroid.provider.Settings;impo...
APK防反编译技术策略详解
"APK防反编译技术是保护Android应用安全的重要手段,旨在防止恶意用户对APK进行逆向工程,获取源代码、敏感信息或植入恶意代码。本PPT由知名Android技术专家罗升阳讲解,介绍了两种主要的防反编译技术:添加非法指令...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值