Android安全开发之浅谈密钥硬编码

最新推荐文章于 2024-05-12 10:10:14 发布
最新推荐文章于 2024-05-12 10:10:14 发布
阅读量1.4w 收藏 5
点赞数 1
分类专栏: Android安全 文章标签: android 信息安全 密码学 编码 阿里聚安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AliMobileSecurity/article/details/51425629
版权
本文探讨了Android应用中密钥硬编码的常见风险,通过案例分析展示了硬编码密钥可能导致的数据泄露、通信伪造等问题。阿里聚安全提出开发建议,包括密钥的存储、分发和加密策略,推荐使用安全组件来增强应用的安全性,以防止逆向工程攻击。
摘要由CSDN通过智能技术生成

Android安全开发之浅谈密钥硬编码

作者:伊樵、呆狐@阿里聚安全



1 简介

在阿里聚安全的漏洞扫描器中和人工APP安全审计中,经常发现有开发者将密钥硬编码在Java代码、文件中,这样做会引起很大风险。信息安全的基础在于密码学,而常用的密码学算法都是公开的,加密内容的保密依靠的是密钥的保密,密钥如果泄露,对于对称密码算法,根据用到的密钥算法和加密后的密文,很容易得到加密前的明文;对于非对称密码算法或者签名算法,根据密钥和要加密的明文,很容易获得计算出签名值,从而伪造签名。


2 风险案例

密钥硬编码在代码中,而根据密钥的用途不同,这导致了不同的安全风险,有的导致加密数据被破解,数据不再保密,有的导致和服务器通信的加签被破解,引发各种血案,以下借用乌云上已公布的几个APP漏洞来讲讲。


2.1 某互联网金融APP加密算法被破解导致敏感信息泄露

某P2P应用客户端,用来加密数据的DES算法的密钥硬编码在Java代码中,而DES算法是对称密码算法,既加密密钥和解密密钥相同。 
反编译APP,发现DES算法:

发现DES算法的密钥,硬编码为“yrdAppKe”,用来加密手势密码:

 

将手势密码用DES加密后存放在本地LocusPassWordView.xml文件中:


知道了密文和加密算法以及密钥,通过解密操作,可以从文件中恢复出原始的手势密码。或者使用新的生成新的手势密码

而与服务器通信时接口中的Jason字段也用了DES算法和密钥硬编码为“yRdappKY”:

最低0.47元/天 解锁文章
阿里安全
关注
专栏目录
【转】如约而至:微信自用的移动端IM网络层跨平台组件库Mars已正式开源
字节卷动
12-29 2679
作者:男人链接:https://zhuanlan.zhihu.com/p/24614843来源:知乎著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。1、前言关于微信内部正在使用的网络层封装库Mars开源的消息,1个多月前就已满天飞(参见《微信Mars:微信内部正在使用的网络层封装库,即将开源》),不过微信团队没有失约,微信Mars 于2016年12月28日正式公开源码(源码地址
google后台 android 散列秘钥生成
最新发布
weixin_44235724的博客
07-18 189
这个网址进行转化 生成的28位散列秘钥可以直接使用。生成散列秘钥可以直接使用配置好的。这里面的 sha-1值 通过。
【解决】秘钥硬编码安全问题
键盘的起始页
06-30 2296
下面给一个方案,对数据进行变形。算法如下:对每一个字节做一次循环右移对每一个字节用一个表的数据做位异或操作转为16进制数目前没有安全的方法保存秘钥,除非使用硬件来解决(后台的加密机使用的就是硬件,秘钥放在芯片里),所以本地保存数据需要遵循:需要长久更安全的保存,使用keychain的方式保存不要保存敏感信息,如果要保存需要先做脱敏任何时候都不要保存密码。
解决方案-秘钥硬编码-入门渗透入门教程
程序员六七的博客
05-12 580
背景APP中需要保存一些用户的个人信息到本地,比如:手机号、身份证、盐之类的,按要求不得明文存储。在早期方案中使用AES进行加解密,密钥拆分成几个部分
代码中密钥的一种展示方式
ZHANG200906的博客
08-19 154
日常记录
【技术分享】Android应用安全开发浅谈加密算法的坑
AliMobileSecurity的博客
03-23 2139
Android开发中,并不是使用了加密就绝对安全了,如果加密函数使用不正确,加密数据很容易受到逆向破解攻击。此文让你了解更多Android加密算法的安全问题。
Android安全开发安全使用HTTPS
AliMobileSecurity的博客
10-08 2066
为了保护用户的信息安全、保护自己的商业利益,减少攻击面,我们需要保障通信信道的安全,采用开发方便的HTTPS是比较好的方式,比用私有协议要好,省时省力。
我看过的安全方面的好文章
个人博客
05-18 948
本文不定期更新,最后更新于2019-5-18 GitHub上实时更新,地址:good-articles-by-sort/安全.md 安全 XSS的各种用途(窃取用户cookie、界面劫持…) 实战Teensy烧录渗透测试U盘 被长期忽视、却危害巨大的邮件追踪术 老歌新唱|PUNYCODE再利用 浅说 XSS 和 CSRF 我是如何拿下一个中学的官方网站的? - 知乎专栏 黑客之死 ROUTER...
密码密钥硬编码检查
shendong70的博客
07-12 1962
Verizon《2022数据泄露调查报告(DBIR)》指出,61%的数据泄露涉及凭证数据,凭证是犯罪分子最喜欢的数据类型,就像披着羊皮的狼一样,它们的行为在攻击之前显得无害。凭证的泄露是信息泄露的主要途径,内部员工操作不规范、没有养成良好的工作行为习惯以及疏忽大意等已成为多起严重网络安全事件发生的根本原因。本文重点讲述通过静态检查工具有效的防止密码密钥的泄露。......
Hardcoded 加密密钥可能会削弱系统安全性,一旦出现安全问题将无法轻易修正。
g56467467464的博客
07-03 4624
Abstract: Hardcoded 加密密钥可能会削弱系统安全性,一旦出现安全问题将无法轻易修正。 Explanation: 请勿对加密密钥进行硬编码,因为这样所有项目开发人员都能查看该加密密钥,而且还会大大增加解决问题的难度。一旦代码被使用,除非对软件进行修补,否则加密密钥将再也不能更改。如果受加密密钥保护的帐户遭受入侵,系统所有者将被迫在安全性和可用性之间做出选择。 例 1:下列代码使用了硬编码加密密钥: private static final String encryptionKey = "l.
当代码中有一些硬编码如何优化
qq_42931285的博客
10-03 701
硬编码如何优化
AES(高级加密标准)
u011296842的专栏
08-03 1479
请注意,此处使用ECB模式是为了简单起见,但在实际应用中,应该优先使用带有初始化向量(IV)的CBC模式,以提供更好的安全性。请注意,在实际应用中,应该使用更安全的方法生成和管理密钥,并避免在源代码中硬编码密钥。灵活性:AES支持不同长度的密钥,可根据实际需求选择128位、192位或256位的密钥长度。AES的解密过程与加密过程类似,但是加密轮的顺序相反,即从最终轮开始逆向操作直到初始轮。初始化密钥扩展:根据密钥的长度,将其扩展为不同的轮密钥,以用于后续的加密轮数。对象,这是执行AES加密所需的对象。
java fortify硬编码秘钥漏洞使用KeyStore解决
cleancat的博客
06-29 1650
java Key Management: Hardcoded Encryption Key KeyStore 秘钥存取
Android静态安全检测
u010457514的博客
08-13 2725
1.allowBackup标志位 问题描述: AndroidManifest.xml文件中allowBackup属性值被设置为true时(默认为true),用户可通过adb backup对应用数据备份,导出应用中存储的数据,造成用户数据的泄露。 修复建议 将android:allowBackup标志位设置为false。 2.debuggable标志位 问题描述: AndroidManif...
移动APP安全漏洞(原理/场景/修复)
lefooter的博客
05-03 3051
反编译 0x01 漏洞描述 APK文件是安卓工程打包的最终形式,将apk安装到手机或者模拟器上就可以使用APP。反编译apk则是将该安卓工程的源码、资源文件等内容破解出来进行分析。 0x02 漏洞危害 攻击者通过反编译可获取应用安卓客户端应用的源代码,攻击者可根据源代码获取对应接口信息,加密算法、密钥,以及一些硬编码在代码中的其他敏感信息,从而进行进一步攻击。 0x03 修复意见 使用...
解决Java硬编码的问题
weixin_43549350的博客
05-02 1442
使用过 mybatis-plus 都知道其可以使用jdk8中引入的方法引用动态获取对象属性的字段名称,这功能非常的强大!我也来简单实现一下! 一、新建一个函数式接口 /** * @author wfd * @description * @create 2021/5/2 0:17 */ @FunctionalInterface public interface DynamicFieldFunction<T,R> extends Function<T, R>, Serializa
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值