Android應用破解及防護是怎樣的

本篇文章為大家展示了Android應用破解及防護是怎樣的，內容簡明扼要并且容易理解，絕對能使你眼前一亮，通過這篇文章的詳細介紹希望你能有所收獲。

一、移動APP的安全風險

隨著移動開發技術的不斷發展，手機APP已經成為了人們生活中密不可分的一部分。但就目前的APP開發安全現狀來說情況卻不容樂觀，盜版APP、惡意破解、APP劫持、數據泄漏、移動業務攻擊等等......各種狀況層出不窮。

因此，對于廣大開發者和企業來說，移動APP的安全問題亟待解決。常見的安全風險包括有山寨危險、重打包風險、破解/數據泄露、以及登錄安全風險。

山寨危險

山寨APP的問題由來已久，實際上，大部分APP都有過被仿冒的經歷。據統計，熱門應用平均有27個山寨APP，嚴重危害到了正版應用和用戶的利益。如下圖所示，通過簡單的解包、逆向分析、代碼拷貝、簡單開發并打包就可以完成山寨應用上架，暴利產業鏈下還有更多的開發者趨之若鶩，仿冒形式也是多種多樣。

在任意的應用商店中搜索“搶紅包”，都會出現大批“克隆”的結果列表。

重打包風險

重打包風險主要是指二次打包，通過破解正版的APP進行二次打包上傳至應用商城。這種仿冒形式成本低廉、操作簡單，“打包黨”們通過反編譯工具向應用中插入廣告代碼與相關配置，再在第三方應用市場、論壇發布。常見的操作手段比如插入自己廣告或者刪除原來廣告、通過惡意代碼惡意扣費或插入木馬、修改原來支付邏輯等等。

重打包不僅嚴重危害產品和用戶的利益，還會對公司的口碑產生極度惡劣的影響。如下圖所示，神廟逃亡即被打包黨們進行了二次打包。

破解、數據泄露

金融、支付類App一直是數據泄露的重災區，多達88%都存在內存敏感數據泄露問題。如下所示，即為常見的金融、支付類本地存儲數據泄漏。

數據抓包，泄漏用戶名和密碼也是常見的狀況之一。

登錄安全風險

登錄安全也是不容忽視的安全風險之一，包括界面劫持風險和鍵盤記錄風險。

二、移動安全進階

被二次打包，被惡意利用；被破解，敏感信息泄漏；游戲出現外掛，影響收入......諸如此類的惡意手段對于企業的利益來說破壞性極大，為了保護知識產權，也為了響應《網絡安全法》
和監管部門的要求，提高防護等級、實現安全進階顯得尤為重要。

一般而言，移動安全的進階包括四大步驟：安全監測、數據保護、代碼保護和多端聯動。

安全檢測

安全檢測是移動開發安全防護的第一步，通常需要檢測客戶端程序安全、敏感信息安全、密碼軟鍵盤安全性、安全策略設置、手勢密碼安全性、通信安全、業務功能測試、配置文件、拒絕服務、本地SQL注入等方面。

而在各威脅類型下，還有各種復雜的子類也需要加強檢測。

在安全檢測中，最主要的是幫助產品規避安全風險。據統計，2018年已知的部分移動開發漏洞包括ZipperDown安全漏洞、Janus簽名漏洞、應用克隆漏洞、RCE漏洞、Google Android緩沖區溢出漏洞......開發應該關注這些漏洞并想辦法規避這些風險。

數據保護

如下圖所示，抓包是數據截取中經常會用到的手段。所以開發者需要對帳號、密碼進行加密處理。不過這還遠遠不夠，其中仍會存在通信風險，給入侵者以可趁之機。

如下所示，即演示了在帳號、密碼都進行了加密處理的情況下仍能突破保護層竊取數據。

某APP登錄過程中敏感信息已經加密，攔截A登錄設備請求RO就能獲取加密后的數據，在另外一臺設備B上攔截登錄請求R1，把RO數據填充到R1中，B設備即可顯示登陸成功。

這種情況下，做好HTTPS雙向認證就是很重要的一大步驟了，起碼要做好單向認證，就是客戶端校驗服務端合法證書。首先在服務端驗證時間戳、設備信息和IP；在客戶端進行加密，包括敏感信息加密、時間戳、設備信息和序列號；然后將信息安全存儲到本地存儲之中。在服務端和客戶端的傳輸中，要注意客戶端要校驗服務端證書，防止中間人進行劫持攻擊。

輸入保護也是數據保護的重要組成部分，開發者可以開發自定義的密碼輸入鍵盤。為防截屏、錄屏，建議不要使用手機里自帶的輸入法輸入密碼，以防止鍵盤記錄。

總的來看，數據保護可以說是安全保護中最為重要的一步，通信數據、存儲數據等重要敏感數據都需要經過加密并加入校驗信息。此外，還有一些安全建議：HTTPS并沒有想象中那么安全，所以建議不要使用自定義加密算法；本機存儲數據加密并且拷貝到其它手機不能使用；盡量一機一密、常用設備登錄.....

代碼保護

基礎的代碼保護方法包括以下五個方面：

• 1、編寫Proguard代碼混淆，SDK也要混淆編寫；

• 2、代碼Native化，將Java轉C++、Dex轉到so；

• 3、白盒加密，密鑰加密，但不要簡單的把密鑰寫在代碼中；

• 4、去日志化，因為日志會暴露很多代碼邏輯；

• 5、簽名校驗，防止重打包。

除去這些基礎層面外，面對越來越復雜的入侵方式，一些進階措施也是必備的，包括VMP、資源加密、動態反調試、防模擬器、防DUMP、防劫持、防注入......這就需要更全面的APP專業加固服務了。

多端聯動

用戶和APP是交互和反饋的關系，因此，多端聯動能夠帶來更好的安全保護效果。

對于APP、后臺、風控中心這三者來說，APP通過和用戶交互獲取數據，后臺通過手機數據向風控中心提出安全請求，風控中心再通過設備指紋、黑名單、行為分析和業務模型向后臺反饋結果，后臺通過業務調整控制APP業務，并最終呈現給用戶。

最后一步

當然這其中，人的安全問題也是比容忽視的。在安全防護中，人是最不可控的風險因素，因此要加強人員安全培訓和安全管理。

上述內容就是Android應用破解及防護是怎樣的，你們學到知識或技能了嗎？如果還想學到更多技能或者豐富自己的知識儲備，歡迎關注億速云行業資訊頻道。