加固了就安全了?几个措施让你的 Android 应用更安全

最新推荐文章于 2022-07-05 10:27:41 发布
原创 最新推荐文章于 2022-07-05 10:27:41 发布 · 955 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文讲述了作者在发现其Android应用被破解后,进行的一系列安全分析和加固措施,包括检查和校验应用签名、防范二次打包、防止方法被hook等。通过这些措施,旨在提高应用的安全性,防止恶意篡改。

1、背景

最近新开发了一款工具类型的软件 移动工具箱,然而某天下午忽然群里来了一个不速之客说我的软件被破解了。虽然,该软件无需付费并且没有广告(很良心 😃 ),也进行了安全加固,但是还是很轻易得被别人破解了。现象是,启动页换成了别人的页面,需要用户点击页面上的按钮分享几次破解者的信息才能进入应用。并且,每次打开应用都是如此。

看到这我的心情还是非常复杂的。一开始觉得自己做个应用都赚不到钱,还要被这些人利用。本是同根生,相煎何太急呀。然而,转念一想,这里有些东西还是可以学习一下,于是我去他们的链接下载了软件,本着学习的精神进行了一波分析并制定了几个方案来加强应用安全。

2、分析

2.1 检查破解应用签名

决定要进行分析之后,我首先想到的就是去检查下应用的签名,这里使用 keytool 即可,指令如下:

keytool -printcert -jarfile 你的apk地址

获取的结果如下,

很显然,应用的签名已经发生了变化,应用被别人二次打包了。实际上,我的应用是在 360 上面进行了软件加固(免费版),但是还是如此轻松地被别人完成了二次打包。

2.2 签名校验

如果仅仅是签名发生了变化,那么解决方式倒也简单。在应用内部增加一个签名校验就可以了。不过签名校验也有需要注意的地方。其一,签名校验可以放在 Java 层来完成,也可以放在 native 层通过 C++ 来完成。其二,在应用内部进行整个数字签名的校验还是部分校验。这是因为如果写入完整的数字签名很容易被别人发现,即便写入到 so 中,写入完整字符串比部分更容易被别人找到。

在 Java 中,你可以按照下面这种方式获取应用的数字签名。我已经把相关的方法写成了工具类,你可以在 Github 上面获取 AppUtils

    public static String getAppSignatureMD5(final String packageName) {
   
   
        return getAppSignatureHash(packageName, "MD5");
    }

    private static String getAppSignatureHash(final String packageName, final String algorithm) {
   
   
        if (StringUtils.isSpace(packageName)) return "";
        Signature[] signature = getAppSignature(packageName);
        if (signature == null || signature.length <= 0) return "";
        return StringUtils.bytes2HexString(EncryptUtils.hashTemplate(signature[0].toByteArray(), algorithm
最低0.47元/天 解锁文章
Android-应用安全
猿在古城的博客
07-04 712
​ 任何一款app,无论是开发过程中,或者应用上架等操作中,最先需要注意的就是我们自己应用安全性。​APK文件的安全性是非常令人堪忧的。如何提升应用安全性?
Android App应用安全加固详细步骤
11-12
图文详解,Android App应用安全加固详细步骤
Android加固demo
06-13
android的Apk加固实现,dex加密解密等。具体使用详情请参考:https://blog.csdn.net/I123456789T/article/details/91562328
android应用安全——数据安全
xyzlmn的专栏
05-05 343
数据安全包含数据库数据安全、SD卡数据(外部存储)安全、RAM数据(内部存储)安全android中操作数据库可使用SQLiteOpenHelper或ContentProvider的方式。使用SQLiteOpenHelper操作数据库时,数据库存放在data/data/&lt;packagename&gt;/databases/目录,这个目录只能是应用自己访问,相对是安全的,但是root用户,...
Android应用安全
殇神马的博客
10-19 4357
一、前言 互联网时代,移动应用已经进入到大众生活的各个方面,娱乐、出行、金融、支付等等,应用中包含了用户的各种隐私数据,如聊天记录,金融账户等等敏感数据,以及一些涉及用户个人财产安全的交易支付操作等,所以移动应用安全性显得尤为重要。作为移动应用开发者我们需要考虑从各个方面最大限度的提高应用安全性;这篇文章就来讨论一下Andoid应用开发中的安全性问题 二、Android应用安全 1.组件安全 组件安全 组件安全是指我们在使用Android提供的组件时,需要做一些访问限制,Activity ,Servi
Android应用软件安全加固技术研究.pptx
10-07
Android应用软件安全加固技术主要涉及以下几个方面: 1. 代码混淆:通过混淆代码来增加攻击者理解代码的难度,从而降低被攻击的风险。 2. 加密技术:对敏感数据进行加密存储或传输,以保护用户隐私。 3. 权限管理...
Android平台WebView组件安全应用加固研究.pdf
09-21
在WebView组件的安全加固中,可能涉及到以下几个方面: 1. **JavaScript接口混淆**:通过对调用JavaScript代码的API进行混淆处理,使攻击者难以理解其功能和用途。 2. **动态加载和执行JavaScript**:不在应用中硬...
精选资源
Android平台WebView组件安全应用加固研究
03-12
本文针对Android平台WebView组件的安全问题进行研究,并提出了应用加固方案以防止逆向工程攻击,旨在提高Android应用程序的安全性。 首先,我们需要了解Android WebView组件的作用。WebView组件允许Android应用加载...
【PyQt5应用安全加固】:确保你的Android应用固若金汤!
[【PyQt5应用安全加固】:确保你的Android应用固若金汤!](https://i0.wp.com/www.truiton.com/wp-content/uploads/2016/04/Post-71-Android-Run-Time-Permissions.jpg?resize=950%2C530) # 摘要 本文全面探讨了...
Android加固
zhaojun的博客
08-13 2万+
前段时间,研究了一些Android逆向相关的工具和技术,并写了一些博客。当然,逆向的博客还没写完,初步写了那么几篇,后面还会继续写。之前也提到过,有逆向,就有相关的保护措施加固就是其中的一种。接下来,我将总结一下目前常用的Android加固平台。 一.梆梆加固 1.在线加固 1.这是梆梆加固的官网:https://dev.bangcle.com/。注册新用户并且登录后,点...
AndroidAndroid应用安全方案梳理
m0_56144365的博客
07-05 1059
作为独立开发者,应用被破解是一件非常让人烦恼的事情。之前有同学在我的一篇博文下面问,有没有一些 Android 防破解的方法。在多次加固、破解、再加固、再破解的过程中,我也积累了一些思路和方法。这里分享一下,如果需要用到,可以作一个参考。先说一个结论,也是我在 Stackoverflow 上面的一个国外程序员的答案,就是说,APK 包已经在别人手上了,我们能做的不过是提升被破解的难度,如果真的遇到非常“执着”的,要破解一样被破解。如果逻辑非常值钱,那么最好还是把逻辑放到服务器上面。此外,加固也是一个可选的方
Android应用加固
ThePromonkeyOf_HeLuo的博客
07-06 1656
Android应用加固 加固原理 加固步骤:需要加密的apk和自己的壳程序apk,然后用加密算法对源apk进行加密,再将壳apk进行合并得到新的apk文件,最后替换壳程序中的dex文件即可。 具体来说就是:修改dex的三个文件头:checksum(文件校验码)、signature(签名)、file_size。将源apk追加到新的dex的末尾。 主流第三方加固服务 360 - 加固保 腾...
安卓应用安全总结
虚无世界的专栏
07-03 324
1.安全信息交互,使用https请求数据,HTTPS只支持域名请求数据,是否验证证书没有特别要求。 2.webview页面流量劫持问题,最安全的方式是用HTTPS调用web页面
android加固
codehxy的专栏
05-17 714
参考文章1,Android APK加固技术方案调研 http://blog.csdn.net/asce1885/article/details/47029763动态加载保护代码在android项目中,我们将核心代码写入一个工程、打包成apk、然后将apk加密,接下来我们用动态加载的方式去调用这个apk中的代码,为了安全和速度,我们将动态加载的代码用c来写放入到so中。http://write.blog.csdn.n
安卓应用安全指南 5.2.3 权限和保护级别 高级话题
热门推荐
龙哥盟
04-01 4万+
5.2.3 权限和保护级别 高级话题 原书:Android Application Secure Design/Secure Coding Guidebook 译者:飞龙 协议:CC BY-NC-SA 4.0 5.2.3.1 绕过自定义签名许可的 Android 操作系统特性及其对策 自定义签名权限是一种权限,实现使用相同开发人员密钥签名的应用之间的应用间通...
Android 应用安全
嗯...
09-26 2315
应用安全 客户端程序安全任意备份风险屏幕截屏安全漏洞组件安全四大组件的安全和暴露什么情景下,调用startActivity可以启动android:exportedandroid sharedUserIdandroid:permission根据场景控制四大组件的安全和暴露封闭式半封闭式开放式WebView组件安全和暴露参考和转载地址 客户端程序安全 任意备份风险 漏洞危害 一旦应用程序支持备份和恢复功能,攻击者即可通过adb backup和adb restore进行恢复新安装的同一个应用来查看聊天记录等信息
安卓应用安全指南 六、困难问题
龙哥盟
04-05 4万+
六、困难问题 原书:Android Application Secure Design/Secure Coding Guidebook 译者:飞龙 协议:CC BY-NC-SA 4.0 在 Android 中,由于 Android 操作系统规范或 Android 操作系统提供的功能,难以确保应用实现的安全性。 这些功能被恶意第三方滥用或用户不小心使用,始终存在可能导...
Android应用安全现状与解决方案(学习资料)
北漂周的专栏(微信:stchou_zst)
06-15 1万+
**   安全对一些涉及到直接的金钱交易或个人隐私相关的应用的重要性是不言而喻的。Android系统由于其开源的属性,市场上针对开源代码定制的ROM参差不齐,在系统层面的安全防范和易损性都不一样,Android应用市场对app的审核相对iOS来说也比较宽泛,为很多漏洞提供了可乘之机。市场上一些主流的app虽然多少都做了一些安全防范,但由于大部分app不涉及资金安全,所以对安全的重视程度不够;而且由
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值