Android 应用之安全开发

最新推荐文章于 2024-09-20 15:20:34 发布
最新推荐文章于 2024-09-20 15:20:34 发布
阅读量1.5k 收藏 6
点赞数 1
分类专栏: Android Android开发 Android应用 文章标签: Android Android开发 安全开发 Android应用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Android_SE/article/details/100890158
版权
本文探讨了Android应用面临的安全问题,包括病毒、关键信息泄露、APP重打包、进程劫持、数据传输劫持等,并详细阐述了基础安全措施,如Manifest文件安全设置、组件安全策略、反调试与反篡改方法。此外,还强调了数据安全的重要性,如SQLite安全、剪贴板保护、密钥管理等,以及Webview和弱加密风险的防范。最后提及其他风险,如谨慎使用高风险函数和重要函数逻辑安全。建议开发者采取多种措施增强Android应用的安全性。
摘要由CSDN通过智能技术生成

大佬:“这个 APP 破解下,可以兼容客户已出货的产品”
我:“这个不合适吧”
大佬:“这个客户对我们很重要”
我:“好吧”
然后,就是通过反编译某 APP ,分析蓝牙交互协议,在新的 APP 中去兼容已出货的设备,达到无缝对接。 –这种场景在开发中还是比较经常碰到的。

一、引言

随着移动互联网向社会生活的各个领域渗透,APP 的使用越来越广泛。但 Android 系统由于其开源的属性,市场上针对开源代码定制的 ROM 参差不齐(特别中国区域),在系统层面的安全防范和易损性都不一样,Android 应用市场对 APP 的审核相对 iOS 来说也比较宽泛,市场上一些主流的 APP 虽然多少都做了一些安全防范,但由于大部分 APP 不涉及资金安全,所以对安全的重视程度不够;而且由于安全是门系统学科,绝大部分 APP 层的开发人员缺乏对 APP 安全意识及措施,导致被有心者有机可乘。

Android 开发是当前最火的话题之一,但很少开发者会讨论这个领域的安全问题,除了专业从业者,但移动应用安全隐患也给发展带来了挑战。

  • 开发团队通常将精力集中在产品设计、功能实现、用户体验和系统效率等方面,而很少考虑安全问题;
  • 与一切都是集中管理的 iOS 相比,Android 提供了一种开放的环境,在获得了灵活性、可以满足各种定制需求的同时,也损失了部分安全性;
  • Android 提供的安全机制比较复杂,开发者需要理解它们,并对常见的攻击思路和攻击方法有所了解,才能有效地保护软件;
  • 目前很少出现对特定移动软件安全漏洞的大规模针对性攻击,在真实的攻击出现之前,许多人对此并不重视。

声明,我不是专业的安全人员,从事的跟安全工作也没有什么关系,本文从自已平时涉及的项目出发,对客户端的代码质量、代码篡改、不安全的数据储存、不安全的通信、不安全的认证、加密不足等安全问题作了说明,从普通开发者角度尽量去提高自已的 APP 安全,以降低代码安全漏洞,减少代码被利用的可能性,避免信任危机、经济损失和法律风险。

二、移动应用面临的安全问题

2.1 病毒

Android 病毒就是手机木马,主要是一些恶意的应用程序。手机木马有的独立存在,有的则伪装成图片文件的方式附在正版 APP 上,隐蔽性极强,部分病毒还会出现变种,并且一代比一代更强大。

这些病毒有一些通用的特征:

  • 母包 + 恶意子包的运行机制
  • 通过技术手段防止用户通过正常途径卸载
  • 以窃取用户账户资金为目的
  • 以短信作为指令通道
2.2 关键信息泄露(反编译)

虽然 Java 代码一般要做混淆,但是 Android 的几大组件的创建方式是依赖注入的方式,因此不能被混淆,而且目前常用的一些反编译工具比如 Apktool 等能够毫不费劲的还原 Java 里的明文信息,Native 里的库信息也可以通过 objdump 或 IDA 获取。因此一旦 Java 或 Native 代码里存在明文敏感信息,基本上是毫无安全而言的。

2.3 APP 重打包

即反编译后重新加入恶意的代码逻辑,从新打包一个 APK 文件。重打包的目的一般都是上面提到和病毒结合,对正版 APK 进行解包,插入恶意病毒后重新打包并发布,因此伪装性很强。截住 APP 重打包就一定程度上防止了病毒的传播。

2.4 进程被劫持

一般通过进程注入或者调试进程的方式来 Hook 进程,改变程序运行的逻辑和顺序,获取程序运行的内存信息,也就是用户所有的行为都被监控起来,这也是盗取帐号密码最常用的一种方式。

当然 Hook 行为不一定完全是恶意的,比如有些安全软件会利用 Hook 的功能做主动防御。一般来说,Hook 需要获取 root 权限或者跟被 Hook 进程相同的权限,因此如果你的手机没有被 root,而且是正版 APK 的话,被注入还是很困难的。

2.5 数据在传输过程中遭劫持

传输过程最常见的劫持就是中间人攻击。很多安全要求较高的应用程序要求所有的业务请求都是通过 Https,但是 Https 的中间人攻击也逐渐多了起来,而且在实际使用中,证书交换和验证在一些山寨手机或者非主流 ROM 上面存在一些问题,让 Https 的使用碰到阻碍。

2.6 键盘输入安全隐患

支付密码一般是通过键盘输入的,键盘输入的安全直接影响了密码的安全。键盘的安全隐患来自三个方面:

  • 使用第三方输入法,则所有的点击事件在技术上都可以被三方输入法截取,如果不小心使用了一些不合法的输入法,或者输入法把采集的信息上传并且泄露,后果是不堪设想的。
  • 截屏,该方法需要手机具有 root 权限,才能跑起截屏软件
  • getevent,通过读取系统驱动层 dev/input/event1 中的信息,获取手机触屏的位置坐标,在结合键盘的布局,就能算出来事件跟具体数字的映射关系,这也是目前比较常用的攻击方式。
2.7 Webview 漏洞

由于现在 Hybrid APP 的盛行(混合开发),Webview 在 APP 的使用也是越来越多,Android 系统 Webview 存在一些漏洞,造成 js 提权。最为著名的就是传说中 js 注入漏洞和 webkit xss 漏洞。

三、基础安全

最低0.47元/天 解锁文章
初壹十五a
关注
专栏目录
开发安全的安卓应用要注意哪些?
旺仔的专栏
03-26 530
安卓应用常被用于处理非常敏感的数据。开发者有责任确保用户提供的信息不被居心不良者轻易截取。开放式 Web 应用安全项目(OWASP)[9,10]尝试着列举移动应用潜在的安全问题。 其中一些是系统架构师的责任(例如弱服务器端控制有关的问题),一些是后端开发者的责任(授权检查相关问题),最后一些就是纯粹与移动应用本身有关。本文我们将关注通过安卓开发者努力可以解决的问题。
android应用安全_如何开发安全android应用
weixin_26727575的博客
08-23 620
android应用安全In order to preserve user trust and maintain data integrity, developing secure mobile application is one of the major challenge for most of the mobile app developers. This article will take...
移动应用安全
最新发布
大河之犬的博客
09-20 2302
如果是合作伙伴APP访问,需要对其APP签名做校验。模拟器检测技术,一般是取一些模拟器特征,例如通过电话管理器攻取设备IMEI、IMSI,判断设备配置信息与Android模拟器设备配置默认值是否相同,检测设备是否有安装蓝牙设备硬件,判断当前设备WIFI MAC地址,检测是否具有QEMU虚拟机通道文件等。私有权限定义经常发生的风险是:定义了私有权限,但是根本没有定义私有权限的级别,或者定义的权限级别不够,导致恶意应用只要声明这个权限就能够访问相应的Content Provider提供的数据,造成数据泄露。
常见的API接口漏洞总结
summer_fish的专栏
05-01 4414
熟悉这些漏洞非常重要,这样您就可以轻松识别它们,在参与渗透测试期间利用它们,并将其报告给组织,以防止犯罪分子将您的客户拖入头条新闻。现在您已经熟悉了 Web 应用程序、API 及其弱点。
(45.3)【API接口漏洞专题】API接口原理、请求方法、类型、安全校验方法
05-07 2470
【专题】API漏洞之基础
API接口漏洞利用及防御
Z__7Gk的博客
07-27 1563
API(Application Programming Interface,应用程序编程接口)是不同软件系统之间进行数据交互和通信的一种方式。API接口漏洞指的是在API的设计、开发或实现过程中存在的安全漏洞,可能导致恶意攻击者利用这些漏洞来获取未授权的访问、篡改数据、拒绝服务等恶意行为。
Android应用程序安全开发指南
10-22
根据提供的文件信息,以下是从标题、描述、标签和部分内容中提取的Android应用程序安全开发指南相关知识点。 《Android应用程序安全开发指南》由日本JSSA协会在2017年2月发布,是针对Android平台应用程序开发者的...
移动应用APP安全开发要求、安全检测标准-android
03-19
本文根据owasp出具的2016移动应用top10的checklist翻译而来,适用于所有android应用
Android应用程序开发安全性设计的研究.pdf
09-22
在研究Android应用程序开发过程中,安全性设计始终是一个核心主题。Android平台默认提供了很多安全机制,这使得开发者在进行应用开发可以不必过多关注安全问题。但是,为了更全面地保障应用与用户的安全,本文将...
Kotlin开发Android应用实例详解
08-30
Kotlin语言具有简洁、安全、智能等特点,能够帮助开发者快速高效地开发Android应用。 Gradle配置 在使用Kotlin语言开发Android应用,需要在Gradle文件中添加相应的配置。以下是一个基本的Gradle配置文件: ```...
Android应用开发揭秘pdf
05-30
8. Android安全机制:解释Android应用安全模型,权限管理,以及如何保护应用数据。 9. 最佳实践和性能优化:分享如何编写高效代码、进行性能分析以及应用的调试和优化方法。 10. 发布和维护:指导如何将应用发布...
swagger-exp:Swagger API漏洞利用
03-25
Swagger API漏洞利用 这是一个Swagger REST API信息可用的工具。主要功能有: 遍历所有API接口,自动填充参数 尝试GET / POST所有接口,返回响应代码/ Content-Type / Content-Length,用于分析接口是否可以未授权访问利用 分析接口是否存在敏感参数,例如url参数,容易约会外网的SSRF细分 检测API认证绕过防御 在本地监听一个Web服务器,打开Swagger UI接口,供分析接口使用 使用Chrome打开本地Web服务器,并添加CORS,解决部分API接口无法跨域请求的问题 当工具检测到HTTP认证绕过突破,本地服务器拦截API文档,修改路径,踩直接在Swagger UI中进行测试 扫描器改进建议 分析json文档,将发现的URL,自动添加到爬虫中 用法 需要介入分析api_summary.txt文件中的内容 扫描所有API集
API 渗透测试之漏洞发现
CSDN_224022的博客
06-20 580
在 API 渗透测试中,因为 API 的特殊性,如果前期信息收集不全(比如 API 列表不全遗漏了影子 API),自动化扫描过程中会无法检测到相应 API 的漏洞,这通常需要手工挖掘。漏洞发现是利用收集到的信息,发现应用程序的缺陷或漏洞的过程。在常规的渗透测试中,这种漏洞发现的范围非常广,包含了信息系统的方方面面,比如网络层协议配置错误、主机补丁没有及升级、应用权限配置错误等。在实际工作中,往往两种方式混合使用,比如先使用自动化检测工具全量扫描一次,再针对高风险业务场景,进行人工渗透或复核。
【漏洞挖掘】——82、API接口安全问题刨析
Fly_鹏程万里
06-12 92
随着互联网的快速发展,应用程序接口(API)成为了不同系统和服务之间进行数据交换和通信的重要方式,然而API接口的广泛使用也引发了一系列的安全问题,在当今数字化代,API接口安全问题的重要性不容忽视,恶意攻击者利用漏洞和不当的API实施,可能导致数据泄露、身份验证问题以及系统的完整性和可用性受到威胁,本文将探讨API接口安全问题的重要性并介绍常见的安全威胁和挑战,还将探讨如何保护API接口免受这些威胁并介绍一些最佳实践和安全措施。
API安全应用和分析
深耕安全技术研究
08-24 1469
API安全攻防应用
Android静态安全检测
u010457514的博客
08-13 2766
1.allowBackup标志位 问题描述: AndroidManifest.xml文件中allowBackup属性值被设置为true(默认为true),用户可通过adb backup对应用数据备份,导出应用中存储的数据,造成用户数据的泄露。 修复建议 将android:allowBackup标志位设置为false。 2.debuggable标志位 问题描述: AndroidManif...
Android 剪切板敏感信息泄露漏洞解决:禁用EditText的复制粘贴功能
booyoung的博客
06-30 3972
Android 中任何第三方软件都可访问剪切板内容,虽然高版本对剪切板做了访问限制,但是还是需要照顾一下低版本的。下边就来说说解决方案吧。 1、自定义NoMenuEditText 继承自AppCompatEditText 2、重写isSuggestionsEnabled方法并返回false 创建canPaste()方法并返回false。该方法是一个隐藏方法 3、实现ActionMode.Callback回调 private class ActionModeCallbackInterc...
Android Intent的 Component 使用
小牧在一直在学习,在前进的道路上大家一起学习,进步。
07-05 3057
Intent 组成元素的列表说明 元素名称 设置方法 说明与用途 Component setComponent 组件,用于指定Intent的来源与目的 Action setAction 动作,用于指定Intent的操作行为 Data setData 即Uri,用于指定动作要操纵的数据路径 Category setCategory 类别,用于指定Intent的操作类别...
支付宝安全支付Android应用开发全攻略
本指南是针对Android应用开发人员的安全支付服务文档,由支付宝(中国)网络技术有限公司于2012年7月20日发布,版本号为3.5.1.2。该文档主要讲解如何在Android应用中集成支付宝安全支付功能,包括安全支付服务的概述...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值