移动APP安全漏洞(原理/场景/修复)

最新推荐文章于 2025-03-17 20:05:29 发布
最新推荐文章于 2025-03-17 20:05:29 发布
阅读量3.5k 收藏 10
点赞数 1
文章标签: 安全漏洞 手机安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_19620507/article/details/105899771
版权

待补充

反编译

0x01 漏洞描述

APK文件是安卓工程打包的最终形式,将apk安装到手机或者模拟器上就可以使用APP。反编译apk则是将该安卓工程的源码、资源文件等内容破解出来进行分析。

0x02 漏洞危害

攻击者通过反编译可获取应用安卓客户端应用的源代码,攻击者可根据源代码获取对应接口信息,加密算法、密钥,以及一些硬编码在代码中的其他敏感信息,从而进行进一步攻击。

0x03 修复意见

  • 使用市面上安卓加固的厂商对安卓APP进行加固,比如360、梆梆等。

安装包签名

0x01 漏洞描述

Android系统要求安装的应用必须用数字证书进行签名后才能安装,并且签名证书的私钥由应用开发者保存。签名证书的生成也由开发者自己生成。在应用安装时会校验包名(package name)和签名,如果系统中已经存在了一个相同的包名和签名的应用,将会用新安装的应用替换旧的;如果包名相同但是签名不同,则会安装失败。

应用签名完后在应用的META-INF目录下会有三个文件: CERT.RSA、CERT.SF和MANIFEST.MF。

 

MANIFEST.MF中保存了所有其他文件的SHA1摘要并base64编码后的值。

CERT.SF文件是对MANIFEST.MF文件中的每项中的每行加上“\r\n”后,再次SHA1摘要并base64编码后的值(这是为了防止通过篡改文件和其在MANIFEST.MF中对应的SHA1摘要值来篡改APK,要对MANIFEST的内容再进行一次数字摘要)。

CERT.RSA文件:包含了签名证书的公钥信息和发布机构信息。

 

0x02 漏洞危害

签名信息中包含的组织信息,将便于用户识别安装包的真伪。

0x03 修复意见

  • 在应用程序发布时使用企业签名对安装包进行签名。

应用完整性

0x01 漏洞描述

客户端若未进行应用完整性校验,经二次打包后的Android APP,破解后植入恶意代码重新打包。不管从性能、用户体验、外观它都跟正规APP一模一样但是背后它确悄悄运行着可怕的程序,它会在不知不觉中浪费手机电量、流量,恶意扣费、偷窥隐私等等行为。

0x02 漏洞危害

  • 插入自己广告或者删除原来广告;
  • 恶意代码,恶意扣费、木马等;
  • 修改原来支付逻辑;

0x03 修复意见

  • 在应用发布时使用360、梆梆等安全厂商进行安全加固。
  • 对签名文件中classes.dex哈希值的校验

可参考下列文章:

android APK安全性校验

Android防重签名和二次打包

Android 应用防止被二次打包指南

任意数据备份

最低0.47元/天 解锁文章
恶意APK漏洞
05-21
这是一个APK,利用了Android的Bug来攻击!当APK的名字大于3740000时就会使手机死掉!
android 移动app常见漏洞
03-26
android 移动应用app常见漏洞,Log敏感信息泄露、web https校验错误忽略漏洞、sql注入漏洞
工具集:APKDeepLens【Android程序漏洞扫描工具】
最新发布
qq_53058639的博客
03-17 1143
APKDeepLens 是一款基于 Python 开发的工具,专为扫描 Android 应用程序(APK 文件)的安全漏洞而设计。该工具聚焦于 OWASP 移动应用十大安全风险,为开发人员、渗透测试人员和安全研究人员提供了一种简便高效的方式,用于评估 Android 应用的安全防护水平。APKDeepLens 是一款基于 Python 的工具,可对 APK 文件执行多种安全分析操作。:扫描 Android 应用程序包(APK 文件),识别潜在安全漏洞
apk漏洞记录1:伪加密+设备管理器不可删+webview漏洞
09-16 1497
伪加密:apk打开需要密码 成因:修改zip的头,把文件的加密标志设置为ture,还原就把加密标志设置为false.利用了Android处理zip文件不判断头里的加密信息,其他压缩软件,java默认实现的zip api都有检测zip头中的加密信息  设备管理器不可删除:某app申请到了设备管理器权限后,在设备管理列表隐身,并且不可被卸载,如obad 成因:
常见APP攻击方法 以及防御方法介绍(移动安全)
键盘的起始页
11-25 7850
用户打开安卓手机上的某一应用,这时,恶意软件侦测到用户的这一动作,如果立即弹出一个与该应用类似的界面,拦截了合法的应用,用户几乎无法察觉,该用户接下输入账号、卡密什么的 其实是在恶意软件上进行的,接下来会发生什么就可想而知了。用户财产损失、隐私泄露;1、恶意应用监听了受害者应用的启动操作,然后弹出UI界面覆盖受害者,让用户误以为是目标应用的窗口,进而冒充盗取用户账号密码、卡密等操作。逆向分析工具 IDA Pro、jdb、gdb、class-dump-z、Clutch、introspy、Cycript等。
Android App漏洞学习(一)
hl1293348082的专栏
04-09 386
DIVA(Damn insecure and vulnerable App)是一个故意设计的存在很多漏洞的Android app,目的是为了让开发、安全工程师、QA等了解Android app常见的一些安全问题,类似dvwa,也可以把它当成一个漏洞演练系统。下载地址: http://www.payatu.com/wp-content/uploads/2016/01/diva-beta.tar.gz 测试环境 1,安装JDK,很多工具需要用到Java环境; 2,安装Android开发工具(A
Android APP漏洞挖掘
jltxgcy的专栏
02-16 5710
0x00     1、组件公开安全漏洞    参考Android 组件安全。    2、Content Provider文件目录遍历漏洞    参考Content Provider文件目录遍历漏洞浅析。    3、AndroidManifest.xml中AllowBackup安全检测    参考两分钟窃取身边女神微博帐号?详解Android App AllowBackup配置带来的风险。    4
App安全漏洞频出到底是何缘由??
05-24
综上所述,App安全漏洞频出的问题已成为移动互联网发展的一大挑战。通过提高开发者和用户的网络安全意识、采用专业的安全加固技术以及定期的安全审计等措施,可以有效提升App安全水平,保障用户的信息安全和财产...
构建安全可靠的移动App:常见漏洞和防御方法
# 第一章:移动App安全概述 ## 1.1 移动App安全的重要性 移动应用程序的普及和快速发展为我们的生活带来了便利,但同时也引发了安全风险。移动App安全的重要性不容忽视,毕竟我们在移动设备上存储了大量的个人和...
app安全评估操作指南及填写范例.zip
10-24
首先,**安全评估** 是对应用进行深度检查的过程,以识别可能存在的安全漏洞、隐私泄露风险以及合规性问题。这包括但不限于数据加密、权限管理、输入验证、代码注入防护、网络通信安全等方面。开发者应熟悉OWASP...
移动App端接口测试技术研究.pdf
08-26
移动App接口测试确保了不同模块之间的数据传输准确无误,防止出现数据丢失、错误或安全漏洞。它有助于尽早发现问题,减少后期修复的成本,并提升产品的稳定性和可靠性。 2. 接口测试方法 常用的接口测试工具有...
移动APP背后的安全问题.ppt
08-14
介绍了如何反编译APP并在源码中寻找隐藏的URL,API接口等资产信息,以及如何通过Burp Suite知名渗透测试套件抓包对APP的服务端进行漏洞检测 现在已进入移动互联网时代,吃喝玩乐、办公支付等等各种应用都在抢占移动APP市场,由于安全无处不在的本质,在多年前就已经有少数人在研究移动APP的中木马、钓鱼等等,但很少有人想到移动APP安全跟WEB安全的关系,目前移动APP大多都有跟远程服务器交互,而且基本都是以WEB API服务的方式,这使得移动APP安全跟WEB安全绑的非常紧。但往往很多漏洞都发生在这些API接口上,再加上目前这块不是很受关注,导致大多数移动APP都没有在这块架设一些CDN、WAF、IPS等设备,使得存在漏洞的API接口完全裸露在互联网中。 本次我将分享: 1、移动APP市场安全现状 2、安卓APP的反编译及漏洞挖掘 3、利用移动APP渗透的各种“猥琐”思路 4、自动化移动APP安全漏洞挖掘的程序实现
Android应用中的常见漏洞总结(下)
梅花寺
07-26 525
Android应用中的常见漏洞总结下期来啦,和小编一起看看吧~#####Zipslip漏洞其实也是目录遍历的一种,通过应用程序解压恶意的压缩文件进行攻击。恶意攻击者通过构造一个压缩文件条目中带有…/的压缩文件,上传后交给应用程序进行解压。由于程序解压时没有对文件名进行合法性的校验,而是直接将文件名拼接在待解压目录后面,导致可以将文件解压到正常解压缩路径之外并覆盖可执行文件,从而等待系统或用户调用他们实现代码执行(也可能是覆盖配置文件或其他敏感文件)。
即时通讯开发Android中密钥硬编码的风险
weikeyun的博客
10-31 564
经常发现有开发者将密钥硬编码在Java代码、文件中,这样做会引起很大风险。 信息安全的基础在于密码学,而常用的密码学算法都是公开的,加密内容的保密依靠的是密钥的保密,密钥如果泄露,对于对称密码算法,根据用到的密钥算法和加密后的密文,很容易得到加密前的明文;对于非对称密码算法或者签名算法,根据密钥和要加密的明文,很容易获得计算出签名值,从而伪造签名。密钥硬编码在代码中,而根据密钥的用途不同,这导致了不同的安全风险,有的导致加密数据被破解,数据不再保密,有的导致和服务器通信的加签被破解,引发各种血案,本文主要借
Android App漏洞学习(二)
hl1293348082的专栏
04-08 288
接上一篇没写完的文章《Android App漏洞学习(一)》,下面继续剩下的几个部分。 PART 7 不安全的输入1(sqli) 打开日志: adb logcat 输入一个单引号,在日志中可以看到报错信息,存在sql注入。 输入' or '1'='1,可返回所有用户密码。 PART 8 不安全的输入2(读取本地文件) 可访问本地的任意文件,输入 file:///data/data/jakhar.aseem.diva/shared_prefs/jakhar.aseem.diva_
Android App程序应用未校验签名证书——————《风险等级高》
拉莫帅的博客
12-20 2031
Android App程序如果未校验签名证书的风险你都知道吗?重新打包签名的应用,可能导致App被仿冒盗版,影响其合法收入,甚至可能被添加钓鱼代码、病毒代码、恶意代码,导致用户敏感信息泄露或者恶意攻击等等,本篇将教大家如何规避此类问题、以及最好的解决办法!
app客户端评估-url硬编码
m0_46490129的博客
07-28 330
网络安全app安全
APP部分漏洞及解决方法
tushiba的博客
01-07 2061
公司APP在教育移动互联网应用程序备案管理平台上收到通报预警,陈列了部分需要解决的漏洞,陈列如下 1.漏洞-动态注册Receiver风险 解决方法: 1.在 AndroidManifest.xml 文件中静态注册 BroadcastReceiver,同时设置 exported="false"。 2.必须动态注册 BroadcastReceiver时,使用registerRecei...
记某大学校园平台关于小程序AppSecret密钥泄露漏洞
人若无名,便可专心练剑
10-26 2229
这次给师傅们分享的文章是关于小程序AppSecret密钥泄露导致的相关漏洞,这个也是在挖掘EDUSRC漏洞的时候关注的一个知识点,蛮多师傅对于这个漏洞还是比较陌生的,AppSecret是小程序的密钥,然后我们可以通过AppSecret获取access_token值,然后执行一些危害操作,如接口调用凭证、用户信息、用户使用数据等,造成了极大的安全风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

lefooter

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值