Android App安全防范措施的小结

已于 2024-01-19 19:23:41 修改
阅读量221 收藏
点赞数
文章标签: android 安全 java
于 2023-01-08 19:15:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A_991128a/article/details/128601479
版权

关闭日志的打印

关闭打印的日志,防止日志中的调试信息被看到。如果在网络框架中使用了日志,那就更加需要关闭了。

代码混淆

代码混淆是最基本的做法,至少能让App在被反编译之后不那么顺畅地阅读源码。

当然,即使是混淆之后的代码,只要花费一定的时间,仍然是可以厘清代码之间的逻辑。

混淆字典的使用

如果对代码中的类名、变量名变成a、b、c还不爽,那可以自定义一些字符来替代它们。此时需要用到混淆字典。

推荐一个github上的库:https://github.com/ysrc/AndroidObfuseDictionary

在proguard-rules.pro中添加混淆字典的配置

#混淆字典
-obfuscationdictionary dic.txt
-classobfuscationdictionary dic.txt
-packageobfuscationdictionary dic.txt

native层校验

除了混淆之外,App还需要防止被别人进行二次打包。

由于release签名的唯一性,可以考虑在native层进行签名的校验。如果签名不正确,直接让App crash。

我们重写JNI_OnLoad()函数,在此处进行校验。

jint JNI_OnLoad(JavaVM *vm, void *reserved) {JNIEnv *env = NULL;if (vm->GetEnv((void **) &env, JNI_VERSION_1_4) != JNI_OK) {return JNI_ERR;}if (verifySign(env) == JNI_OK) {return JNI_VERSION_1_4;}LOGE("签名不一致!");return JNI_ERR;
}

verifySign()函数会执行真正的校验,将存放在native层的签名字符串和当前App的签名进行比对。

static int verifySign(JNIEnv *env) {// Application objectjobject application = getApplication(env);if (application == NULL) {return JNI_ERR;}// Context(ContextWrapper) classjclass context_clz = env->GetObjectClass(application);// getPackageManager()jmethodID getPackageManager = env->GetMethodID(context_clz, "getPackageManager", "()Landroid/content/pm/PackageManager;");// android.content.pm.PackageManager objectjobject package_manager = env->CallObjectMethod(application, getPackageManager);// PackageManager classjclass package_manager_clz = env->GetObjectClass(package_manager);// getPackageInfo()jmethodID getPackageInfo = env->GetMethodID(package_manager_clz, "getPackageInfo","(Ljava/lang/String;I)Landroid/content/pm/PackageInfo;");// context.getPackageName()jmethodID getPackageName = env->GetMethodID(context_clz, "getPackageName","()Ljava/lang/String;");// call getPackageName() and cast from jobject to jstringjstring package_name = (jstring) (env->CallObjectMethod(application, getPackageName));// PackageInfo objectjobject package_info = env->CallObjectMethod(package_manager, getPackageInfo, package_name, 64);// class PackageInfojclass package_info_clz = env->GetObjectClass(package_info);// field signaturesjfieldID signatures_field = env->GetFieldID(package_info_clz, "signatures","[Landroid/content/pm/Signature;");jobject signatures = env->GetObjectField(package_info, signatures_field);jobjectArray signatures_array = (jobjectArray) signatures;jobject signature0 = env->GetObjectArrayElement(signatures_array, 0);jclass signature_clz = env->GetObjectClass(signature0);jmethodID toCharsString = env->GetMethodID(signature_clz, "toCharsString", "()Ljava/lang/String;");// call toCharsString()jstring signature_str = (jstring) (env->CallObjectMethod(signature0, toCharsString));// releaseenv->DeleteLocalRef(application);env->DeleteLocalRef(context_clz);env->DeleteLocalRef(package_manager);env->DeleteLocalRef(package_manager_clz);env->DeleteLocalRef(package_name);env->DeleteLocalRef(package_info);env->DeleteLocalRef(package_info_clz);env->DeleteLocalRef(signatures);env->DeleteLocalRef(signature0);env->DeleteLocalRef(signature_clz);const char *sign = env->GetStringUTFChars(signature_str, NULL);if (sign == NULL) {LOGE("分配内存失败");return JNI_ERR;}int result = strcmp(sign, RELEASE_SIGN);// 使用之后要释放这段内存env->ReleaseStringUTFChars(signature_str, sign);env->DeleteLocalRef(signature_str);if (result == 0) { // 签名一致return JNI_OK;}return JNI_ERR;
}

JNI_OnLoad()函数是只有使用了JNI,才会被调用。为了确保App一启动就能够进行验证签名。

我还写了一个方法:

jstring Java_io_merculet_core_utils_EncryptUtils_nativeCheck(JNIEnv *env, jclass type) {return env->NewStringUTF("Security str from native.");
}

在App的MainActivity的onCreate()中使用。

 EncryptUtils.nativeCheck()

EncryptUtils是一个工具类,用于调用native层的方法。

/**
 * @version V1.0 <描述当前版本功能>
 * @FileName: io.merculet.core.utils.EncryptUtils.java
 * @author: Tony Shen
 * @date: 2018-05-21 20:53
 */
public class EncryptUtils {// Used to load the 'native-lib' library on application startup.static {System.loadLibrary("codec");}public static native String nativeCheck();...
}

关键的密码不要明文传输

例如登录、支付相关的密码,最好不要明文传输,需要进行加密。如果在Java层来做加密容易被反编译,那么可以考虑使用C++来实现。

总结

这些措施也只是冰山一角,因为安全一直是永恒的话题。我们还可以考虑使用加壳、反动态调试等等。

参考资料:

1.http://qbeenslee.com/article/about-wandoujia-proguard-config/
2.https://github.com/Qrilee/AndroidObfuseDictionary
3.https://www.jianshu.com/p/2576d064baf1

Java与Android技术栈:每周更新推送原创技术文章,欢迎扫描下方的公众号二维码并关注,期待与您的共同成长和进步。

教IT的小王A
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
android自定义混淆字典
06-24
android studio 使用自定义混淆字典进行混淆,增加app被反编译后阅读的难度, 内容为16位由0,o,O,3个字符生产的如OoO0oOoOoO0O0oO0这样的不重复字符串,使用方式:将下载的dictoO0.txt放在proguard-rules.pro同级目录下,在proguard-rules.pro中加入:-obfuscationdictionary dictoO0.txt -classobfuscationdictionary dictoO0.txt -packageobfuscationdictionary dictoO0.txt
Android手机App安全漏洞整理(小结)
08-27
Android手机App安全漏洞整理小结主要介绍了Android手机App安全漏洞的整理,包括源码安全漏洞、组件安全漏洞、dex保护漏洞、so保护漏洞、调试设置漏洞、组件导出漏洞、Activity组件漏洞、Service组件漏洞等。...
Android 混淆使用及其字典混淆(Proguard)
最新发布
Android 领域开发程序员,希望通过写博客的方式不断的总结提升自己,大家共同进步哦!
09-18 1777
所以像网上贴的很多排除自定义View,或四大组件被混淆的规则在Android Studio中是无需加入的(我目前看来是如此的)默认情况下会对所有代码,包括第三方包都进行混淆,可是有些代码或者第三方包是不能混淆的,这就需要我们手动编写混淆规则来保持不能被混淆的部分。ProGuard能够通过压缩、优化、混淆、预检等操作,检测并删除未使用的类,字段,方法和属性,分析和优化字节码,使用简短无意义的名称来重命名类,字段和方法。可以看到,里面的各种对象,方法,变量名,参数等等都被混淆了,变化非常之大。
Android APP常见风险及防护
技术超强的网络安全平台
09-17 1088
如果程序本身对运行时的内存没有做任何的保护措施,攻击者通过反编译对源代码进行分析,定位到可以程序外 Hook 类似操作的关键位置,完全不需要修改程序本身,当程序运行到敏感的界面 Activity 时,从程序外获取用户输入的证件号、姓名、手机号和密码等敏感的信息,并从内存中进行修改,尤其是对于涉及到支付等操作时,将严重威胁用户的财产安全app被轻易的二次打包,很容易被攻击者添加恶意的代码或者添加广告,从而窃取登录账号密码、支付密码等,严重威胁用户隐私安全,也给公司的形象带来不利的影响。
Android混淆总结
weixin_42602900的博客
09-15 3854
Android混淆总结
Android 安全与防护策略
07-27 1981
随着应用的发展,应用的安全也变的越来越重要,有些不法分子开始反编译或者劫持一些app源码。甚至有人通过截图然后做识别,获取别人内容。我们在处理时应该如何去保护我们的应用呢?接下来我们可以分析一下,一些场景,的用途.........
Android小项目——新闻APP(源码)
02-26
Android小项目——新闻APP(源码),一个很简单的可以练手的Android Demo Ps:下载之前可以先看一下这篇文章——https://blog.csdn.net/qq_34149526/article/details/80992341
详解基于Android App 安全登录认证解决方案
08-27
Android App开发中,安全登录认证是至关重要的,它确保用户信息的安全,防止未授权的访问。本篇文章主要探讨了如何构建一个基于Android的高效且安全的登录认证解决方案,尤其针对移动互联网环境下用户数据安全的...
Android开发微信APP支付功能的要点小结
01-04
包名值得是你APP的包,在创建工程时候设置的,需要在微信支付平台上面设置。 签名指的是你生成APK时候所用的签名文件的md5,去掉:全部小写,需要在微信支付平台上面设置。 调试阶段,签名文件可以使用调试用的debug....
自定义混淆字典
Gufra_Yin的博客
10-25 1966
参考https://www.jianshu.com/p/d768f6d1d93b?tdsourcetag=s_pctim_aiomsg -optimizationpasses 4 #指定代码压缩级别 -obfuscationdictionary dictionary_extra.txt #外部字典 -classobfuscationdictionary dictionary_class.t...
Android 代码混淆 选项说明
热门推荐
打渔还是晒网 —— stone
04-10 1万+
转载请注明出处: Android 代码混淆 选项说明 http://blog.csdn.net/jjwwmlp456/article/details/44977721 -----------------匆忙拥挤repeat 语法规范说明地址:https://stuff.mit.edu/afs/sipb/project/android/sdk/android-...
Android开发之常用第三方库混淆字段
爱去玩的专栏
03-25 2398
Android开发中, 经常使用别人的第三方库, 开发完成后, 我们需要对apk进行压缩, 混淆, 这样别人就很难看懂你的代码了, 就算反编译过来也看不懂(大牛除外). 下面收集一些目前我正在使用混淆字段, 我有个项目apk是10M, 压缩混淆后只有3.4M, 很爽的哟. 开启压缩和混淆 要开启混淆, 一般只需要把minifyEnabled设置为true就好了. buildTyp...
APP安全性测试总结--网上转载
weixin_30279751的博客
10-31 1958
移动APP安全测试 老鹰a0人评论7103人阅读2018-08-06 16:22:07 1 移动APP安全风险分析 1.1 安全威胁分析 安全威胁从三个不同环节进行划分,主要分为客户端威胁、数据传输端威胁和服务端的威胁。 1.2 面临的主要风险 1.3 Android测试思维导图 ...
Android应用安全之JNI混淆
一杯苦芥的专栏
03-06 3799
简介 JNI全称为Java Native Interface,是使Java方法与C\C++函数互通的一座桥梁。通俗的讲,它的作用就是使Java可以调用C\C++写的函数、使C\C++可以调用Java写的方法。 特点 1、性能 众所周知,Android程序一般是基于Java语言开发的,虽然Google随后推出了Kotlin语言,但是Kotlin语言依然运行在J...
androidapp安全方面的处理
jinshitou2012的专栏
07-09 267
androidapp安全方面的处理,分为4大方面: 1、手机系统 检测系统是否被root 是否是模拟器 2、用户展现 自定义键盘(银行用的多) 禁止截屏(敏感数据) 3、对内代码 数据库加密(sqlite加密) 混淆(代码) 组件暴露(export=false) 4、http加密(对称,非对称) ...
关于Android app 安全问题你需要知道的事
gleefulbird的博客
01-04 694
前段时间为了应对银联的安全监测,在处理一些app安全问题,这篇文章就把我自己对Android应用的安全问题的认知给出一些问题和解决办法。   一.为了应对APP日志暴露风险,我们需要通过混淆将应用里打印日志的代码给去掉:       ①在build文件中设置混淆文件 proguardFiles getDefaultProguardFile('proguard-android-opt...
构建安全Android App笔记
JoeLittleStar的专栏
07-30 442
安全登录 在Andorid登录过程中有些信息会很常用: 用户名和密码 设备信息,如DeviceID和AndroidID 网络信息,如IP地址 为了下一次登录方便,登录过程中会记住用户名,这意味着用户名将保存在设备文件系统的某个位置。 用户验证的最佳实践: 不要缓存密码 限定最短的密码长度 验证Email地址 多步验证 服务端和客户端都进行验证 不要缓存密码 不要保存或缓存用...
APP安全的防护方法
07-16 768
安卓手机APP安全一直是是移动互联网不停歇的话题,不仅使得开发者压力倍增,也让使用者也忧心忡忡。 应用APP的现状是: 移动互联网的呼声越来越高,安卓手机的性能不断提高, APP的数量越来越高,而用户对于APP的要求是不断提高。 在这样的现状下,APP就非常可能被盗版,被破...
防护IOS APP安全的几种方式(详解)
dt1991524的博客
09-27 2220
1.URL编码加密 对iOS app中出现的URL进行编码加密,防止URL被静态分析 2.本地数据加密 对NSUserDefaults,sqlite存储文件数据加密,保护iOS app的帐号和关键信息。 3.网络传输数据加密 对iOS app客户端传输数据提供加密方案,有效防止通过网络接口的拦截获取 4.方法体,方法名高级混淆 对iOS app的方法名和方法体进行混淆,保证源码被逆向后无法解析代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值