如何保证App中的聊天记录不被截获?

最新推荐文章于 2024-10-07 18:47:05 发布
最新推荐文章于 2024-10-07 18:47:05 发布
阅读量686 收藏 9
点赞数 30
文章标签: flutter 网络安全 网络攻击模型 android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/developer_laoliu/article/details/140951681
版权

哈喽,我是老刘
前两天又看到有大厂查员工聊天记录的新闻了。

image.png

老刘做Flutter开发已经6年了,更早之前也从事过网络安全方面的开发工作。
所以,今天我们站在开发者的角度,假设你开发了一个聊天App,如何保证你的聊天记录不被截获?

我们以Android系统为例,看看如何能获取到某个App的聊天数据。
假设你开发了一款通信App,并且使用标准的HTTPS加密。
那么公司想要获取你的聊天记录,都需要满足哪些条件呢?
Android在这方面是比较割裂的,不同版本的系统难度不一样,总的来说系统版本越高越安全。
其实iOS在iOS 9之前的版本,安全性管理也不是很严格。

Android 7.0以前的系统

这个版本的系统是最不安全的,只需要满足两个条件,公司就能截获聊天的网络数据包。
1、连接公司的wifi
2、手机安装公司证书

Android 7.0以前的系统,对证书管理并不严格。
用户可以不需要 root 权限就能将证书安装到系统中,并且应用会信任这些用户安装的CA证书。
因此基于上面的两个条件,安装指定证书并且连接公司wifi。
公司就可以实施中间人攻击(MITM)。

image.png

可以在网络接入节点,截获并解密客户端和服务器之间的加密通信,从而能够查看和修改数据。

可能很多朋友觉得安装公司的CA证书这一点很难做到。
其实一点也不难,有很多看起来非常合理的非技术手段就能做到。
比如公司有一些内部工具App在手机端使用,然后以安全为理由只有安装公司的CA证书才能正常使用这些App。
这样证书不就装好了。
然后只要你连接了公司的网络,那么所有通信的数据就都暴露了。

谷歌也是注意到了这个问题,所以从7.0版本开始加强了CA证书的管理。

Android 7.0以上系统

从 Android 7.0(Nougat)开始,系统的安全性得到了加强,特别是对 HTTPS 流量的抓包变得更加困难。
主要原因是 Android 7.0 引入了名为“Network Security Configuration”的新安全功能,它默认只信任系统级别的 CA 证书,不再信任用户安装的 CA 证书,除非应用的 targetSdkVersion 小于 24。

通常来说,现在的App很少有targetSdkVersion 小于 24的了。
那么如果想要实现中间人攻击,有以下几种方法可以做到这一点:

  1. 使用 Xposed 的 JustTrustMe 模块:这个模块可以信任所有的证书,从而绕过 SSL 证书的验证。 

    image.png

  2. 基于root权限安装系统级证书
  3. 使用 VirtualXposed 和 TrustMeAlready:在没有 root 权限的情况下信任指定证书。

可以看到,想要在Android 7.0以上的系统实现中间人攻击,要么获取root权限,要么安装非官方的特殊软件。
这些操作都有比较高的技术门槛,而且公司很难有合理的理由要求员工去操作。
这也是为啥我们会看到有大厂要求查看员工的聊天记录了。

当然手机端监控虽然有一定的技术难度,但是桌面端那可真是非常容易的。
所以如果你用的是公司发给你的电脑,那我只能说,没啥好办法,别在上面装私人聊天软件。
即使是个人电脑,只要使用了公司的域账户,也没啥秘密可言,所以断了这个念想吧。

那么作为开发者,如何在我们自己开发的软件中防止中间人攻击呢?

防止中间人攻击的策略

下面简单罗列一些防止中间人攻击的手段。

  1. 前提是使用 HTTPS: 始终使用 HTTPS 来加密客户端和服务器之间的通信,确保数据传输过程中的安全性。
  2. 证书锁定(Certificate Pinning): 通过证书锁定,你可以在客户端应用中嵌入服务器证书的哈希值,并在建立安全连接时验证服务器提供的证书是否与预置的哈希值匹配。
  3. 公钥锁定(Public Key Pinning): 与证书锁定类似,但只锁定证书中的公钥。这样即使证书更新,公钥仍然保持不变,从而避免因证书更新导致的锁定问题。
  4. 私有加密算法:使用内部加密算法可以防止通过证书等手段的中间人攻击,但是要注意通过逆向工程破解加密算法。

另外在开发中还有一些需要注意的点

  1. 不要在url中暴露敏感信息:虽然HTTPS可以保证内容的加密,但是url是暴露在外的,所以不要把敏感信息放到url中。
  2. 注意本地数据的保密:这个也很好理解,前面说的都是传输过程的加密。但是一般来说App总是要存储本地数据的。我们也经常会把一些数据存储在本地文件里面。
    这些存储的文件也要注意敏感信息的保密或者脱敏。

总结

前面我们介绍了打工人如何保护自己的聊天记录以及开发者如何防止中间人攻击。
但是回到文章开头的事件,技术手段获取不到的信息可以通过其它手段获取。
大多数的打工人是没有什么太好的反抗手段的。
祝大家都有一份理想的工作。

如果看到这里的同学有学习Flutter的兴趣,欢迎联系老刘,我们互相学习。
点击免费领老刘整理的《Flutter开发手册》,覆盖90%应用开发场景。
可以作为Flutter学习的知识地图。
覆盖90%开发场景的《Flutter开发手册》icon-default.png?t=N7T8https://mp.weixin.qq.com/s?__biz=MzkxMDMzNTM0Mw==&mid=2247483665&idx=1&sn=56aec9504da3ffad5797e703c12c51f6&chksm=c12c4d11f65bc40767956e534bd4b6fa71cbc2b8f8980294b6db7582672809c966e13cbbed25#rd

程序员老刘·
关注
app后端搭建聊天服务器的经历
wqdsoft_im的博客
08-06 4015
现在,聊天功能已经成了社交app的标配了。但是,众多web开发出生的程序员对聊天相关的服务的不了解,带来了很多开发上的困扰。在这篇文章,根据下面3个方面,谈谈聊天服务。   1.      聊天服务的技术选型 2.      开发社交app,实现聊天服务踩过的坑 3.      那些著名app的聊天服务     1. 聊天服务的技术选型  
Wireshark抓取网络聊天
m0_59416558的博客
12-28 1741
文章目录一、连接测试二、发送数据并抓包总结参考 一、连接测试 运行疯狂聊天程序,并发送消息,进行测试 Wireshark抓包 根据代码可以得知程序通过UDP向255.255.255.255发送信息 Wireshark输入筛选命令ip.dst==255.255.255.255 通过Wireshark抓包,可以验证该程序时通过UDP协议进行发送,并发送到广播地址255.255.255.255,保证同房间处于同意端口号的可以接受到信息 二、发送数据并抓包 汉字字符 此阶段以个人发送的 “你好呀
27.app后端搭建聊天服务器的经历
热门推荐
曾健生的专栏
05-07 3万+
现在,聊天功能已经成了社交app的标配了。但是,众多web开发出生的程序员对聊天相关的服务的不了解,带来了很多开发上的困扰。在这篇文章,根据3个方面,谈谈聊天服务。
APP通用测试用例
YLF123456789000的博客
05-30 1556
a.常见易错点密码明文显示,密码缺少明暗文切换按钮,通过抓包工具截取接口日志可以看到密码等敏感信息,获取验证码后可以通过抓包截获验证码,登录过程抓包可以看到数据库表名和SQL语句,服务器主机ip和端口未通过nginx映射,用户能获取真实ip,客户端请求服务端,没有传递的安全令牌token,容易被恶意攻击等。g.验证系统是否会出现异常,具体特殊字符比如空格,英文,表情符号,特殊字符,null等特殊字符串等,常见的问题比如输入框输入特殊字符系统闪退或提示系统错误,输入框输入表情符号解析成问号等。
wireshark抓取网络聊天数据包
YouthBlood9的博客
11-19 4273
练习wireshark抓取网络数据包。在两台及两台以上的电脑(已知IPv4地址)上运行 “疯狂聊天室”程序,通过wireshark抓包: 1)分析此程序网络连接采用的是哪种协议(TCP、UDP)和什么端口号? 2)试着在抓取包找到窃取到的聊天信息 (英文字符和汉字可能经过了某种编码转换,数据包不是明文) 3)如果是网络连接采取的是TCP,分析其建立连接时的3次握手,断开连接时的4次握手;如果是UDP,解释该程序为何能够在多台电脑之间(只有是同一个聊天室编号)同时传输聊天数据? ...
02-app漏洞发现
qq_56414082的博客
04-13 666
apk反编译提取URL或抓包获取url,进行web应用测试,如不存在或走其他协议的情况下,需采用网络接口抓包进行数据获取,转至其他协议安全测试!apk测试主要分为三个方向:apk->WEB;apk->其他;apk->逆向。
介绍并提高appWebView的性能
weixin_30549175的博客
12-12 59
  这周五和老大谈了很长时间的话,感觉颇有收获,在两周做完聊天的任务后,有找到了新的目标,还是那句话,现在还是菜鸟的我正在努力变的不菜,这次我想看着ios developer 文档把我学到的记录下来,这周的目标就是把webView深入学习一下,fighting!!!!   现在有很多软件都在逐渐加入很多webview元素,其原因是安卓和iOS可以共用一套,成本低,开发速度快,一开我就觉得我去这下...
Android APP漏洞挖掘
jltxgcy的专栏
02-16 5657
0x00     1、组件公开安全漏洞    参考Android 组件安全。    2、Content Provider文件目录遍历漏洞    参考Content Provider文件目录遍历漏洞浅析。    3、AndroidManifest.xmlAllowBackup安全检测    参考两分钟窃取身边女神微博帐号?详解Android App AllowBackup配置带来的风险。    4
App的安全问题
zhuquan0814的博客
05-07 3277
App的安全问题
shutapp:简单的匿名和自毁聊天应用程序
06-28
7. **安全性与隐私**: 为了保护用户的隐私,"shutapp"可能采用了端到端加密技术,确保只有发送者和接收者可以阅读消息,即使数据在传输过程截获,也无法解密。此外,还可能有其他安全措施,如防止间人攻击、...
针对Apple iMessage的消息加密算法缺陷(CVE-2021-35216) Apple’s iMessages Encryption Algorithm Insecure
AI天才研究院
10-09 706
近年来,由于越来越多的手机用户使用了iMessage、WhatsApp等即时通讯软件进行日常沟通和交流,因此,保护用户隐私和个人信息安全一直是当务之急。其,iOS操作系统上应用层级的IM消息加密功能虽然可靠地保证了通信双方的隐私安全,但仍然存在漏洞。一个典型的漏洞就是CVE-2021-35216漏洞,该漏洞是在苹果iOS 14.7和14.7.1上发现的IM消息加密算法的缺陷,导致攻击者可以窃取到IM传输的数据。同时,国内外一些研究人员也发布相关论文证实此漏洞的存在。
Flutter的架构层
Python私教
10-05 1079
这个强大的引擎负责将您的代码转换为美观的视觉体验。就像一个熟练的艺术家,Flutter引擎绘制你的应用程序的每一帧,创建一个流体和响应的用户界面。Flutter提供了一个特定于平台的嵌入器,作为应用程序和操作系统之间的桥梁。Flutter提供了现成的库,如Material和Cupertino,它们体现了流行操作系统的设计原则。这些库提供了大量预先构建的小部件,确保你的应用在Android和iOS设备上的外观和感觉都是原生的。在它的核心,Flutter利用了一个分层的架构,提高了可扩展性和灵活性。
鸿蒙harmonyos next flutter混合开发之ohos工程 直接引用 flutter_module 源码
我的博客
10-02 570
注意:由于没有真机,在模拟器运行会报如下错误。
Vue.js 组件开发详解
专注AI大模型,软件安全,授权解决方案
10-07 975
data() {return {
Flutter】- 核心语法
最新发布
不靠谱先森的博客
10-07 778
Flutter是以组件化的思想构建客户端页面的,类似于 vue 和 react,每个组件都有独立的结构、样式和交互。Flutter的组件分为两大类:无状态组件 和 有状态组件● StatelessWidget: 没有状态改变的Widget,通常这种Widget仅仅是做一些展示工作而已;● StatefulWidget: 需要保存状态,并且可能出现状态改变的Widget;
Flutter概述及其优势
Python私教
10-05 1140
Flutter采用了一个响应式框架,在这个框架,整个用户界面是由一组小部件组成的,创建了一个高度可定制和灵活的UI树。这种创新的架构允许快速渲染和更新,从而产生流畅的动画和流畅的交互。其充满活力和激情的社区,结合其广泛的库和包的生态系统,已经推动Flutter到新的高度。从初创公司到科技巨头,各种规模的企业都在利用Flutter的强大功能来创建令人惊叹的、高性能的、引人入胜的移动体验。随着每个新版本的发布,Flutter不断发展,引入了增强功能、性能优化和扩展的平台支持。
Flutter平台嵌入器
Python私教
10-07 525
这些嵌入程序是用Java和c++编写的,适用于Android,适用于iOS和macOS的Objective-C/ objective - c++,适用于Windows和Linux的c++。它们为您的Flutter应用程序提供必要的入口点,并处理重要的任务,如渲染表面,可访问性和输入。然而,值得注意的是,Flutter被设计为可扩展和可定制的,因此如果需要,您也可以创建自己的平台嵌入器。还有一个关键的部分叫做平台嵌入器,它可以让你的Flutter应用在不同的操作系统上运行,比如Android、iOS等等。
flutter_鸿蒙next_Dart基础①字符串
小淼淼的博客
10-04 3535
通过这段代码,我们可以看到 Dart 字符串的基本操作,如声明、拼接、分割、查找和正则表达式的应用。这些操作是编写 Dart 程序时不可或缺的技能,对开发者在进行文本处理、数据验证等方面有很大帮助。希望这篇博客能帮助你更好地理解 Dart 编程语言的字符串处理!
uniapp项目app置于后台如何保证不被后台清除
05-13
Android 平台上,可以通过设置 app 的前台服务来保证 app 不被后台清除。在你的 uniapp 项目,你可以使用 uni-app 提供的插件 `uni-foreground-service` 来实现这个功能。 首先,你需要安装 `uni-foreground-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值