开发者需要关注的APP安全问题有哪些

对于个人开发者或者某些小企业开发者而言，APP安全的始终是一件让人非常头疼的事情。下面我们从安全开发角度出发，进行梳理了一个APP需要关注的APP安全的问题。

一、应用安全

在开发APP过程中，不安全的代码编写方式和没有周全考虑到相应的安全性，从而给开发的APP带来一定的安全风险，那么应用安全这个最重要的安全需要关注哪些方面？

1. 环境检测

环境检测主要关注点: 模拟器检测、root检测。

目前主流的模拟器:夜神模拟器、雷电模拟器、逍遥模拟器、mumu模拟器、腾讯手游模拟器。

对模拟器实现原理:一种基于Qemu，一种基于Genymotion(VirtualBox)

模拟器的检测主要方式:模拟器的特有文件、模块、特征，代理类等等。

2. 反调试检测

目前调试工具: jeb、IDA、GDB等调试工具进行调试分析代码和数据。

反调试方式(检测规则一小部分):

检测/proc/%d/status和/proc/pid/stat 和 /proc/pid/task/pid/stat状态值。

二、敏感数据安全

1. 代码中敏感URL

直接将访问的网址或访问的IP地址硬编码写到代码中，那么攻击者可以通过反编译app进行静态分析(jeb,jadx,IDA)，搜索URL或IP相关的信息，那么这些URL或IP信息就会成为攻击者的一个利用目标。

2.  APP中敏感数据

在APP的代码或配置文件中，存储着敏感而且没有进行做加密保护的数据。

攻击者攻击方式有两种：

• 利用apktool反编译APP应用，并进行查看二进制代码数据就能直观的看到敏感的操作调用敏感数据。
• 通过代理模式进行抓包就可以直接抓到APP运行中的操作的敏感数据。

三、完整性校验

APP开发者如果没有对开发的APP进行做完整性校验的话，那么攻击者用androidkiller工具进行对APP功能的逆向修改，例如对app植入恶意代码，木马、广告等等，那么这些修改APP后，并进行重新签名发布，这会导致包的完整性被破坏，那么如果有包完整性校验，校验包被破坏了就进行检验并做对应闪退效果。

四、证书存储风险

APP中使用的数字证书可被用来校验服务器的合法身份，以及在于服务器进行做通信的过程中对传输数据进行加解密的运算，保证传输数据的保密性，完整性。

明文存储的数字证书如果被篡改，APP客户端可能会连接到攻击者的服务器上，导致APP的敏感信息被盗取。如果明文证书被盗取，可能会造成传输数据被拦截解密，伪造第三方的APP客户端向服务器进行发送请求，篡改服务器中的关键数据或者造成服务器响应异常。

总之面对潜力巨大的移动互联网市场，企业定制开发APP不仅是企业发展的必然趋势，也是面对市场竞争的正确选择。而快速应用开发网业内十年开发，经验丰富、技术强劲，是您定制开发APP道路上的忠实助力者。