关于Android app 安全问题你需要知道的事

最新推荐文章于 2024-04-04 17:04:39 发布
原创 最新推荐文章于 2024-04-04 17:04:39 发布 · 762 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了Android应用安全的多个方面,包括日志混淆、SharedPreferences加密、接口加密、安全键盘设计、组件保护、系统环境校验、HTTPS双向认证、界面劫持防御及WebView安全设置,为开发者提供全面的应用安全指南。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前段时间为了应对银联的安全监测,在处理一些app安全问题,这篇文章就把我自己对Android应用的安全问题的认知给出一些问题和解决办法。

 

一.为了应对APP日志暴露风险,我们需要通过混淆将应用里打印日志的代码给去掉:

      ①在build文件中设置混淆文件

   proguardFiles getDefaultProguardFile('proguard-android-optimize.txt'), 'proguard-rules.pro'

      ②混淆文件添加混淆

#删除普通日志
-assumenosideeffects class android.util.Log {
     public static boolean isLoggable(java.lang.String, int);
     public static int v(...);
     public static int i(...);
     public static int w(...);
     public static int d(...);
     public static int e(...);
}
# 删除自定义的日志提示类提示语句
-assumenosideeffects class com.test.utils.LogUtils {
     public static *** v(...);
     public static *** i(...);
     public static *** w(...);
     public static *** d(...);
     public static *** e(...);
     public static *** vTag(...);
     public static *** iTag(...);
     public static *** wTag(...);
     public static *** dTag(...);
     public static *** eTag(...);
     public static *** json(...);
     public static *** file(...);
     public static *** xml(...);
}

二.通过root手机等方式SharedPreferences文件暴露:

对SharedPreferences文件进行加密存储,具体方式可以自由发挥:aes,rsa都行

可以参考:https://github.com/iamMehedi/Secured-Preference-Store

三.App和后台接口交互的加密;

针对应用的类型和用户的不同,对接口加密要求也不一样;

介绍下用RSA+AES加密结合的方式针对接口数据进行处理的流程:

1.客户端拿到和后台约定好的RSA公钥

2.用rsa公钥加密客户端本地生成生成的key;,在登录接口传给后台。

3.后台经过rsa私钥解密之后,保存后台;

4.客户端发起其他请求接口时,用key对请求参数进行AES加密和加签处理;

5.后台通过加签对比,然后利用key进行AES解密参数,将包装好的数据进行AES加密加签传给客户端;

6.客户端拿到数据再进行加签对比,解密数据后使用。

四.安全键盘处理

安全键盘的标准不同于普通的自定义键盘:

1.数字,符合 乱序处理;(随机生成数字的位置)

2.不可被截屏,录屏;(getWindow().setFlags(WindowManager.LayoutParams.FLAG_SECURE, WindowManager.LayoutParams.FLAG_SECURE);
3.键盘要逐位加密。

五.组件暴露风险

打开manifest文件将暴露的组件 改为

android:exported="false"

六.手机系统环境校验

 // 检查是否root
    public static boolean isDeviceRooted() {
        boolean ret = false;
        String path = null;
        Map<String, String> env = System.getenv();

        if (env != null && (path = env.get("PATH")) != null) {
            String[] dirs = path.split(":");
            for (String dir : dirs) {
                String suPath = dir + "/" + "su";
                File suFile = new File(suPath);
                if (suFile != null && suFile.exists()) {
                    ret = true;
                }
            }
        }
        return ret;
    }
// 检查是否是在模拟器中运行
    public static boolean checkEmulator() {
        try {
            boolean goldfish = getSystemProp("ro.hardware").contains("goldfish");
            boolean emu = getSystemProp("ro.kernel.qemu").length() > 0;
            boolean sdk = getSystemProp("ro.product.model").equals("sdk");
            if (sdk || goldfish || emu) {
                return true;
            }
        } catch (Exception e) {
            e.printStackTrace();
        }

        return false;
    }
  private static String getSystemProp(String prop) throws Exception {
        Class sysPropClazzClass = Class.forName("android.os.SystemProperties");

        return (String) sysPropClazzClass.getMethod("get",
                new Class[]{String.class}).invoke(sysPropClazzClass,
                new Object[]{prop});
    }

七.https证书双向认证

通过okhttp+Retrofit 实现证书认证还是有许多内容的,这里就不详细展开。

八.界面劫持风险

应用跳转到非本App页面,要给用户以提示;

九.webview铭文存储

webSettings.setSavePassword(false);
Android APP安全测试
只有发现了问题才能解决问题
03-17 3650
移动APP面临的威胁:木马、病毒、钓鱼、破解、篡改、二次打包、账号窃取、广告植入、信息劫持等一、Android APP安全测试思路分析:1.安全测试工具2.基础环境3.数据安全4.程序安全5.数据传输6.业务安全二、APP面临的风险1.不安全的服务器访问控制2.不安全的数据存储3.传输层保护不足4.非预期的数据泄露5.脆弱的认证和授权6.已知的不安全加密方式7.客户端注入8.通过不被信任的输入改变...
App安全问题
zhuquan0814的博客
05-07 3372
App安全问题
Android app 安全
vivian的专栏
04-27 519
App安全 从一款被篡改的软件谈 Android App安全之路 《Android攻防实战》读书笔记——保护App安全 安全问题 APP安全问题 反编译 APK反编译 apk加固 Apk源码的加固(加壳)原理解析和实现 Android中的Apk的加固(加壳)原理解析和实现 Android中的Apk的加固(加壳)原理解析和实现 Android中对Nativ...
安卓应用安全指南 六、困难问题
热门推荐
龙哥盟
04-05 4万+
六、困难问题 原书:Android Application Secure Design/Secure Coding Guidebook 译者:飞龙 协议:CC BY-NC-SA 4.0 在 Android 中,由于 Android 操作系统规范或 Android 操作系统提供的功能,难以确保应用实现的安全性。 这些功能被恶意第三方滥用或用户不小心使用,始终存在可能导...
androidapp安全方面的处理
jinshitou2012的专栏
07-09 341
androidapp安全方面的处理,分为4大方面: 1、手机系统 检测系统是否被root 是否是模拟器 2、用户展现 自定义键盘(银行用的多) 禁止截屏(敏感数据) 3、对内代码 数据库加密(sqlite加密) 混淆(代码) 组件暴露(export=false) 4、http加密(对称,非对称) ...
App安全二三
cpongo5
06-04 341
首先插播一条自己的广告——有些朋友可能都知道了,我最近创建了一个知识星球,在这里试了一周,发现私密圈子的效率果然比群要好很多,付费门槛过滤掉了大部分广告和没有意愿学习分享的人,希望在这里能聚集更多的热爱学习热爱分享的朋友,长按下面的二维码来加入《程序员修仙指南》 WechatIMG503.png App安全二三 客户端防作弊,是一个很重要,但...
android App安全总结
wilson的专栏
07-10 330
app会遇到什么样子安全问题 以及对应的解决方案 app反编译 应对策略 进行代码混淆 进行资源文件混淆 app的二次打包 进行apk的加固 (360加密 dex加密) app的进程劫持 主要对象是xposed 应对策略 检查手机是否安装xpoed 异常方式查看堆栈是否包含xposed app DNS劫持 使用Https 参考 https://zhuanlan.zhihu.com/p/.
Android 应用安全
嗯...
09-26 2156
应用安全 客户端程序安全任意备份风险屏幕截屏安全漏洞组件安全四大组件的安全和暴露什么情景下,调用startActivity可以启动android:exportedandroid sharedUserIdandroid:permission根据场景控制四大组件的安全和暴露封闭式半封闭式开放式WebView组件安全和暴露参考和转载地址 客户端程序安全 任意备份风险 漏洞危害 一旦应用程序支持备份和恢复功能,攻击者即可通过adb backup和adb restore进行恢复新安装的同一个应用来查看聊天记录等信息
APP安全问题
u012886265的专栏
04-08 505
数据安全: 未防御屏幕录制: 在一些涉及隐私的操作界面,禁止屏蔽录屏/截图件。可以在一定程度上避免用户的信息泄露 解决: //禁止截屏 this.getWindow().addFlags(WindowManager.LayoutParams.FLAG_SECURE); //清除禁止截屏标志 winddow.clearFlags(WindowManager.LayoutP...
Android应用安全常见问题及解决方案
最新发布
keyoukewude的博客
04-04 670
这是我们内部审计发现的一些数据,在经过仔细的排查,发现很多应用普遍都会存在一些漏洞。而少部分应用会在他们不知情或者是故意的情况下,带有一些病毒和恶意的行为。Android应用常见问题及解决方案接下来会给大家介绍下我们今年发现了一些漏洞,其实说漏洞还是有些不恰当,它更像是四个攻击面,包括组件问题、url绕过、中间人攻击、Webview漏洞,尽管这几个问题看起来非常简单,但是在手机上包括一些主流APP上却是非常的常见。组件问题对于组件问题,如果单论存在的原因,可能在安卓建立之初它就存在了。
移动APP安全测试
weixin_43639443的博客
11-27 3349
1.移动APP安全风险分析* 1.1 安全威胁分析 安全威胁从三个不同环节进行划分,主要分为客户端威胁、数据传输端威胁和服务端的威胁。 1.2 面临的主要风险 1.3 Android测试思维导图 1.4 反编译工具 有两种反编译方式,dex2jar和apktool,两个工具反编译的效果是不一样的,dex2jar反编译出java源代码,apktool反编译出来的是...
常见App安全问题
markkr133的博客
06-02 1万+
常见的 App 安全问题据2015年第三季度移动安全报告显示,Android 16个行业 TOP 10 应用漏洞类别和数量中,Webview远程代码执行占到了第一位,第二位是Webview文明存储密码。这些领域涵盖大家平时工作领域,我们所面临的漏洞是非常严峻的。常见安全问题分析上图可看出Android研发要点约450个,包含组建安全、配置安全、策略安全、通信安全、权限欧洲、DOS安全、ROOT安全...
Android-APP安全(一)测试
子曰小玖的博客
09-10 946
Android系统由于其开源的属性,市场上针对开源代码定制的ROM参差不齐,在系统层面的安全防范和易损性都不一样,Android应用市场对app的审核相对iOS来说也比较宽泛,为很多漏洞提供了可乘之机。市场上一些主流的app虽然多少都做了一些安全防范,但由于大部分app不涉及资金安全,所以对安全的重视程度不够;而且由于安全是门系统学科,大部分app层的开发人员缺乏安全技术的积累,措施相对有限。 ...
AndroidAPP安全模型
m0_56366502的博客
09-17 1417
AndroidAPP的生成,运行以及安全模型,沙箱机制
构建安全Android App笔记
JoeLittleStar的专栏
07-30 500
安全登录 在Andorid登录过程中有些信息会很常用: 用户名和密码 设备信息,如DeviceID和AndroidID 网络信息,如IP地址 为了下一次登录方便,登录过程中会记住用户名,这意味着用户名将保存在设备文件系统的某个位置。 用户验证的最佳实践: 不要缓存密码 限定最短的密码长度 验证Email地址 多步验证 服务端和客户端都进行验证 不要缓存密码 不要保存或缓存用...
Android 应用有哪些常见,常被利用的安全漏洞(转自知乎作者网易云)
CsdnXiaoCaiJi的博客
05-18 3365
(保存在自己的博客,以后慢慢看)作者:网易云链接:https://www.zhihu.com/question/22933619/answer/392842386来源:知乎著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。Android应用会遇到各种各样的漏洞,如何从细节上了解各种安全隐患,积极采取适当的防御措施便变得尤为重要。为了让大家对Android漏洞有一个非常全面的认识,...
Android apk 安全措施详细说明(签名、混淆、加固、H5安全方案)
superzhang6666的博客
12-29 6971
文章简介:当一个Android app 开发完成后,我们总是希望对app进行一些安全措施,防止自己开发的apk被别人二次打包和签名上传到应用市场,同时防止apk被别人拿到之后进行反编译进行二次开发。那么我们应该都做哪些防护措施呢?下面来一一说明。 1、apk签名 打正式包之前,需要对apk进行签名,如果您是用Android Studio开发工具,那么打包、签名就非常简单了。具体怎么签名,网上文章很多,这里不做详细描述。那么我们重点说说为什么要对apk进行签名呢? (1)apk签名是应用程序作者对apk进行
Android-APP安全(二)测试
子曰小玖的博客
09-10 1366
APP面临的主要风险 客户端: 传统逆向分析类(反编译、调试、加密/签名破解…) 用户已经中招类(输入记录、导出组件、进程注入…) 服务端: 系统组件类(MS12-020、ShellShock、心血、ST2…) 业务应用类(注入跨站越权执行上传下载弱口令…) 本地客户端测试 本章我主要介绍的本地客户端的测试,所需要的环境、工具、APK文件结构、架构、测试点等。 ...
APP安全防护常见问题分析
imtik的博客
10-10 3310
常见的 App 安全问题 据2017年上半年移动安全报告显示,近五年安卓端病毒数量呈直线上升趋势。到2016年,这一数字已大幅上升至1743万,预计2017全年病毒量将接近2000万。亚洲仍然是病毒重灾区,而中国2017年上半年以约242万的病毒数量位列全球第一,我们所面临的漏洞是非常严峻的。 常见安全问题分析 上图可看出Android研发要点约450个,包含组建安全、配
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值