Android 安全评估整改办法一

最新推荐文章于 2025-10-12 10:22:54 发布

原创

最新推荐文章于 2025-10-12 10:22:54 发布 · 909 阅读

1 ·

CC 4.0 BY-SA版权

项目已接近尾声，应要求进行应用评估，本人将近期评估接触到的方法和大家分享。

内网信息

漏洞说明

应用代码中如果存在内网信息泄漏，一旦被攻击者利用，则会对服务器安全产生威胁。

分析方案

（1）首先检测源代码是否加密；

（2）扫描反编译代码中以http、https开头的字符串以及IP地址

删除非应用需要的IP地址，包括无用的jar包

反编译防范

漏洞说明	如果应用没有作反编译防护，应用的关键逻辑，算法就会暴露给攻击者，造成应用被破解、盗版，给企业造成严重损失。

这个只需加固处理，本次使用360加固助手

花指令添加，在项目每个文件里添加

private static final char[] wJ = "0123456789abcdef".toCharArray();
public static String imsi = "204046330839890";

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

tianshukebi

关注关注

1
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Android app权限整改

archko的专栏

08-12

509

权限整改中,重点是定位权限,当你的app已经检查过了,使用定位的权限了,又被整改退回来了,是不是觉得脑子不够用了? 检测机构出问题了? 当然不是.因为有其它地方,间接地使用了它. 其它像相机,通讯录这些权限就不说了,不够特殊,今天说一说定位权限. 手机系统中,有一项检查隐私保护->查看应用行为记录,里面记录着app访问了哪些权限,你也许会很奇怪,我明明没有了定位操作,也没有地图为何还会访问定位权限? 首先,要看文档: 官方文档权限变更: https://developer.andro

AndroidKiller介绍与使用

YJJYXM的博客

09-25

1万+

参与评论您还未登录，请先登录后发表或查看评论

1 条评论

james旸爷 2024.08.20
放出了一些可以攻击的点哈。

app安全评估报告，如何搞定呢？!

热门推荐

mazhongxiu的博客

06-19

1万+

你的app上架，遇到【安全评估报告】门槛了么？什么是“安全评估报告”？没有“报告”会有什么后果？专业的第三方评测机构帮助企业app顺利上架什么是“安全评估报告”？ 2018年11月15日，网信办（http://www.cac.gov.cn）发布了《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》，规定中提出了：“针对具有舆论属性或社会动员能力的互联网信息服务的主体，都需要提供一份《安全评...

APP安全性检查报告整改

Jun的博客

07-07

1727

安全性检查处理一、背景前些时间被某些公司检查出漏洞，还举报到了我们管辖区的公安派出所，然后要求被整改，虽然感觉是有其他公司在搞我们，但是这些还是需要改的。下面做一下整理归纳检查的漏洞描述一、出现的安全漏洞处理 1. SO 风险（低风险）（如果是高危漏洞需要进行更换升级SO：高风险）这个我直接反馈没有相关信息通过SO进行保存处理，或者直接购买第三方服务，SO加固服务 2.BroadcasrtReceive 广播接受者风险（中风险）首先需要android:exported="false" 但是会

Android APP过检安全整改

残风乱了温柔的博客

01-21

859

一、背景说明金融类APP的安全整改，为了提高APP的安全性，达到相关机构的安全标准做的改进。先写个提纲，以后慢慢补充细节二、改动项整理报文加解密(RSA+AES，密钥安全保存)、防重放双向证书认证开启混淆，应用签名检测防止二次打包登录密码复杂度第三方sdk初始化放在同意隐私协议之后权限整改，隐私政策整改 APP的环境检测：模拟器/Root 本地重要信息加密存储(如SP加密存储) 业务整改(如..

安卓市场的“安全评估报告”攻略

Loxis_liu

01-30

1万+

近日，有开发者向七麦反映，自己收到了一些安卓应用市场的邮件，称需要为自家产品上交一份《安全评估报告》，但开发者却不知道该如何完成，七麦经过收集整理，特别为开发者准备了一份详细的《安全评估报告》攻略。什么是“安全评估报告”？今年11月15日，网信办发布了《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》,规定中提出了规定：“针对具有舆论属性或社会动员能力的互联网信息服务的主体，都需要提供一份...

android整改报告模板

10-30

上架应用市场时，可能存在需要整改的可能，如果收到整改通知，就要进行一系列的整改自测，然后再次提测，上应用市场

精选资源

安全风险整改报告.docx

07-07

【APP 安全风险整改报告】在网络安全日益重要的今天，APP 的安全性成为了用户隐私保护和企业信息安全的关键。本文主要讨论的是XXXX有限公司针对其APP的安全风险整改情况，旨在提高APP的安全性能，防止潜在的安全...

7、Android应用安全保障与测试全解析

最新发布

dapp9builder的博客

10-12

本文深入解析了Android应用的安全保障与测试全流程，涵盖代码混淆技术及其局限性、红队与蓝队的职责分工及自动化实践、合规团队的作用，以及防止应用在模拟器运行的实现方式。同时，详细介绍了安全测试中的功能检查、APK获取与分析步骤，并通过mermaid流程图展示了团队协作与决策机制。文章还探讨了开发类型对应的安全风险及团队沟通改进方向，为构建全面的Android应用安全体系提供了系统性指导。

Android应用程序框架安全机制研究及改进

01-15

面对恶意软件的威胁,Android 使用了一套应用程序安全框架来保护安全。本文以 Android 现有的安全机制为基础,通过研究当前安全机制的不足,分析恶意软件攻击的特点,提出了多个具体的安全扩展和保护方案,达到了较好的防御效果。研究工作主要体现在以下几个方面: (1)在深入研究 Android 权限机制的基础上,指出了 Android 权限机制的不足,并给出了基于安全距离的权限机制扩展方案,为描述应用程序的安全性提供了一个量化方案。 (2)仔细研究了 Android 组件式程序结构,发现了其中存在着无法限制不安全的数据传递的问题。根据这一缺陷,设计了一种新的针对 Android 平台的攻击方案——协同攻击方案。 (3)使用协同攻击深入分析了 Android 组件式程序结构的缺陷,通过分析和研究,提出使用在程序边界部署数据过滤方案来保护隐私数据的方案。本文详细描述了如何使用基于 Bloom Filter 的数据保护方案来防御协同攻击。 (4)在现存的 Android 安全机制中,大多数都是安装时机制。一旦恶意程序躲过安装时检查,在恶意程序运行时 Android 安全机制不能及时做出反应。本文针对这个问题提出了基于上下文的运行时检测方案。

Android APP隐私权限整改

残风乱了温柔的博客

01-21

3410

一、背景简介前段时间，国内对于安卓APP隐私问题做了一波整改，我们的APP也做了一些整改，现在分块抽空整理出来吧二、整改项目 1、隐私权限整改主要是针对现在市场上APP各种乱申请权限，获取用户隐私的行为，整理了一个工具类（主要参考云闪付APP的业务逻辑），如下： public class PermissionUtils { /////////////////////////////////////////////////////////////////////////

jd-gui,akpToolkit,smali.jar文件Android反编译工具

04-27

我们在开发安卓中，有时需要对其他apk文件进行反编译，以便我们方便进行学习交流研究使用。我们使用 Android SDK 默认生成的工程会自动添加一些类到我们的工程中。这些类在程序发布后会仍然保留在apk 文件中。我们对其进行反编译后可以发现会有Smali后缀名的文件。我们怎么对他进行反编译城Java文件，并让我们看懂呢？下面进行一下简单介绍：

android安全风险分析,面向种群的Android安全风险评估和恶意应用检测

weixin_34226447的博客

05-25

312

摘要：在Android系统安全问题中,Android应用的权限调用合理性是一个不确定性问题,某些权限是否逾越了应用本身的功能范围,一些隐私权限是否会造成用户隐私泄露.从单个应用的角度很难确定应用所申请权限的合理性.同时,在Android安全问题中,应用的恶意性和其申请的权限密切相关.应用程序所申请的权限是进行安全性评估和检测的重要对象.相似用途的应用具有相似的功能,从而形成相似的权限需求.相比于个...

android安全报告,Android安全检测报告

weixin_28978471的博客

05-26

431

1.高危 Intent Scheme URL攻击详情：恶意页面可以通过Intent scheme URL执行基于Intent的攻击建议：将Intent的component/selector设置为null2.高危 WebView应用克隆风险详情：APP使用WebView访问网络，当开启了允许JS脚本访问本地文件，一旦访问恶意网址，存在被窃取APP数据并复制APP的运行环境，造成“应用克隆”的...

安全评估报告

qq_39937301的博客

06-24

1万+

我们在上架APP的时候，经常会让我们上传一些安全评估报告。首先呢，我们要先去“全国互联网安全管理服务平台”。（http://www.beian.gov.cn/）注册登录然后呢，就是安全评估报告的填写了 1.点击左侧的安全品谷报告，在点击右侧的提交安全报告 2.（1）阅读有关规定，点击规定最后的“已阅读，下一步” （2）提交信息，我们需要将带星号的全部填写 ...

APP整改

chenjk的博客

10-30

6772

极光推送SDK 功能：用于实现消息推送（或其他推送）功能收集个人信息的类型：设备信息、地理位置、网络信息极光隐私政策链接：https://www.jiguang.cn/license/privac 设备信息：设备标识符（IMEI、IDFA、Android ID、MAC、OAID等相关信息）、应用信息（应用崩溃信息、通知开关状态、软件列表等相关信息）、设备参数及系统信息（设备类型、设备型号、操作系统及硬件相关信息）网络信息：IP地址，WiFi信息，基站信息等相关信息

Android 应用开放平台报告：隐私政策不合规

as89751的博客

07-19

1582

前言前一段时间，我司应用直接在应用宝开放平台搜索不到了，联系了一下客服，客服也不清楚是怎么回事儿，只是做了回复搜索的操作。。。说要七个工作日才能恢复，我也每当回事儿，恢复当前我们的应用被告知，隐私不合规暂时不会被强制下架但是建议整改 1.我是如何修改的我先是把隐私政策和用户协议的弹窗，放到了开屏页面，用户同意以后，初始化全部的SDK 如果不同意，不初始化SDK，具体如：友盟已经给出了解决方案预初始化SDK 用户同意后，再正式初始化SDK，我们还修改了隐私政策的内容，如：向用户申请了哪.

Android今日头条平台隐私合规整改

Ueming的博客

01-06

2830

（Android如IMEI、MEID、OAID、Serial、ICCID、Android ID、IMSI，iOS如IDFV、IDFA）、MAC地址、IP地址、位置信息（如GPS、蓝牙和基站）、WLAN接入点（如SSID、BSSID）、WiFi列表、设备传感器信息、应用信息、设备信息。申请权限，一次安装仅可申请一次。用户拒绝不得退出服务，不得多次申请权限。使用第三方sdk，需要在第三方信息共享清单声明。用户同意协议之前，不得获取用户任何个人信息。用户同意协议之前，不得申请用户权限。权限申请需要声明弹窗。

Android CTA操作wifi弹框整改

01-09

### Android CTA 操作 WiFi 弹框整改方案对于Android设备上的CTA认证过程中遇到的WiFi弹框问题，解决方案涉及权限管理以及用户交互设计优化。具体措施如下： #### 权限请求策略调整针对WiFi功能，在应用程序启动初期即向用户提供清晰明了的信息说明为何需要获取该权限，并仅当确实必要时才发起请求[^1]。 #### 用户界面改进为了减少不必要的打扰并提高用户体验，可以考虑将WiFi开关集成到设置页面内更显眼的位置，让用户能够主动控制而不必通过频繁弹窗来实现操作确认。此外，还可以采用一次性批量处理的方式询问多个相关联的功能授权情况，从而降低单独每次开启服务所带来的干扰程度。 #### 应用行为逻辑修正如果应用默认情况下不应拥有对Wi-Fi状态改变的权利，则需确保在首次尝试访问此特性之前先征得用户的同意；一旦拒绝授予相应许可，则后续再次触发相同场景时不应当重复显示提示窗口除非发生了特定条件下的变更（例如版本更新后重新评估安全风险等级）。 ```java // 示例代码展示如何合理地请求WiFi权限 if (ContextCompat.checkSelfPermission(thisActivity, Manifest.permission.CHANGE_WIFI_STATE) != PackageManager.PERMISSION_GRANTED) { ActivityCompat.requestPermissions(thisActivity, new String[]{Manifest.permission.CHANGE_WIFI_STATE}, MY_PERMISSIONS_REQUEST_CHANGE_WIFI); } ```