apk安全的一点思考

最新推荐文章于 2021-12-29 18:05:02 发布
最新推荐文章于 2021-12-29 18:05:02 发布
阅读量294 收藏
点赞数
分类专栏: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dream_caoyun/article/details/90175331
版权

从普通开发环境来说,思考apk的安全性有以下几点
1、防止二次打包:
  由于android打包过程中系统只要求自签名,不强制要求第三方权威机构签名认证,所以很容易通过解析apk包,修改或者是删除其中存储签名信息的META-INF文件来进行重新签名打包,

解决方案

  在系统安装apk时拿到正确的签名文件,与当前签名文件做对比,是与否进行不同操作

2、防止反编译:GitHub上有很多开源反编译工具,这些工具流程都大同小异:反编译,修改,优化,dex转jar,签名,打包

解决方案

  现在主流的观点是加密apk文件中的.dex文件,然后将解密办法存储到另外一个路径中,然后给程序加一个壳,在运行apk时先运行壳apk,然后取出解密办法解密dex文件运行程序

3、防止恶意篡改:理论上防止二次打包和反编译就能防止恶意篡改apk内容
4、防止动态分析调试:比如在开发工具中拿到调试Log等,

解决方案

  清单文件中或者Gradle设置了debuggable="true"才能调试应用程序,所以发布版中禁止debuggable模式,还要防止第三方人员恶意篡改,可以在代码中做二次检测确保条件是否符合

5、防止模拟器运行apk:模拟器很容易为非法分析apk提供便利

  • 模拟器很容易拿到root权限
  • 模拟器对应用程序调试条件限定很宽松
  • 模拟器的IMEI号并不是真实物理设备
  • 模拟器的dev目录下有特殊文件
  • 模拟器build信息和真机有差异
qq_773961852
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
开发者需要关注的APP安全问题有哪些
RapidAppDev的博客
12-21 780
对于个人开发者或者某些小企业开发者而言,APP安全的始终是一件让人非常头疼的事情。下面我们从安全开发角度出发,进行梳理了一个APP需要关注的APP安全的问题。 一、应用安全 在开发APP过程中,不安全的代码编写方式和没有周全考虑到相应的安全性,从而给开发的APP带来一定的安全风险,那么应用安全这个最重要的安全需要关注哪些方面? 应用安全主需要关注:二进制安全、敏感数据安全、敏感资源安全、完整性安全、证书存储安全。这五个方面处理的好会一定程度提高APP安全性 1. 环境检测 环境检测主要关注点:
apk安全浅谈
qq_23081779的博客
08-01 736
apk安全方案 签名 混淆 加固 核心代码从java移到ndk/c++中 接口安全处理:验签+https+核心接口加密 一、签名 如果不对app进行签名,其他人员会利用未签名的包进行再打包,加一些广告信息,从而进行非法牟利,对我们造成影响的损失。 签名过程请点击这里 二、混淆 定义:代码混淆(Obfuscated code)亦称花指令,是将计算机程序的代码,转换成一种功能上等价,但是难于阅读...
APK安全性(一)--如何攻击
NoClay's Home
09-18 2536
APK安全性可以通过修改客户端文件篡改客户端行为。攻击者可以让客户端显示自己制作的钓鱼网站,偷取用户信息以下攻击部分摘自知乎:https://www.zhihu.com/question/41368839/answer/112182560防御部分摘自如下博文:http://blog.csdn.net/jiangwei0910410003/article/details/48415225http:/
Android应用中的APK安全性问题
bwf_erg的博客
03-22 495
Android应用中APK安全性一直遭人诟病,市面上充斥着各种被破解或被汉化的应用,破解者可以通过破解工具就能对一个APK进行反编译、破解、汉化等等。 破解之后就可以修改原有代码的逻辑、添加新代码、添加或修改资源、或者更有甚着植入病毒等等,从而破坏APK安全和用户体验,最终伤害到用户和原有开发者。 但事物都是有两面性的,针对Android应用安全的各种方案应运而生,大家比较熟悉一般是加类加壳
Android apk 安全措施详细说明(签名、混淆、加固、H5安全方案)
superzhang6666的博客
12-29 6205
文章简介:当一个Android app 开发完成后,我们总是希望对app进行一些安全措施,防止自己开发的apk被别人二次打包和签名上传到应用市场,同时防止apk被别人拿到之后进行反编译进行二次开发。那么我们应该都做哪些防护措施呢?下面来一一说明。 1、apk签名 打正式包之前,需要对apk进行签名,如果您是用Android Studio开发工具,那么打包、签名就非常简单了。具体怎么签名,网上文章很多,这里不做详细描述。那么我们重点说说为什么要对apk进行签名呢? (1)apk签名是应用程序作者对apk进行
信息安全APK学习资料
07-18
信息安全APK学习资料:测试题目;入门指导;学习资料。
安卓安全上网3个apk
09-05
安卓f安全上网3个apk,安卓资源包,手机端
安兔兔安全检测的apk
最新发布
08-09
【标题】:“安兔兔安全检测的apk” 【描述】:“安兔兔安全检测的apk”是一款针对Android设备的应用程序,旨在帮助用户检测手机或平板电脑上的APK安装包是否安全,防止恶意软件和病毒对设备造成威胁。该工具通过一...
APKpure_V2.13.6(官网下载)
11-12
来源:apkpure.com (官网)、APKpure_V2.13.6(官网下载)。
AppSecurityDetection:安卓Apk安装包在线安全检测系统
05-18
【AppSecurityDetection:安卓Apk安装包在线安全检测系统】 在移动互联网时代,安卓应用程序(Apk)成为了用户日常生活中不可或缺的一部分。然而,随着Apk数量的剧增,恶意软件和安全漏洞也随之增多,给用户的数据...
APP安全性测试、apk反编译
xiadanying的博客
06-12 1552
文章目录安全测试点apk反编译 https://www.jianshu.com/p/d79a30a7ed94 https://blog.51cto.com/laoyinga/2155341 安全测试点 安装包 apk反编译 签名 发布前校验一下签名使用的key是否正确,以防被恶意第三方应用覆盖安装等 使用命令 jarsigner -verify -verbose -certs apk包路径 ...
APP安全APK完整性校验
fuchenxuan blog
05-22 1623
APP安全APK完整性校验 前言 APK 完整性校验,虽然很难做到绝对的安全,但能提高应用的安全性和破解难度。 一、认识APK安全性 危害 可以通过修改客户端文件篡改客户端行为。攻击者可以让客户端显示自己制作的钓鱼网站,偷取用户信息 二、完整性校验原理 完整性校验的几种方式 CRC校验 MD5值校验 SHA1值校验 常见android完整性检测 ...
你的APK安全吗?来WeTest免费测!
wetest_tencent的博客
11-23 1441
作者:We Test小编 商业转载请联系腾讯WeTest获得授权,非商业转载请注明出处。 原文链接:https://wetest.qq.com/lab/view/423.html 腾讯安全联合实验室就曾在《2018上半年互联网黑产研究报告》指出,移动端黑产规模宏大,恶意推广日均影响用户超过千万。 尤其在网络强相关的APP流行年代,当APP应用客户端上传与获取信息,大多通过接口在服务器双向通信,这很...
Android apk安全全解
qq_37792992的博客
05-29 499
大家都知道我们apk是很容易被有些人破解的,特别是涉及到支付方面的app,如果被有心人换掉支付,二次打包那就是很可怕的事情了。今天来给大家分享一些关于app安全方面的技术:1.接口参数加密签名市面上常用的加密签名方式有两种:MD5,RSAMD5加密相信大家都已经很熟悉了,这里就不贴代码了。RSA加密算法代码如下:public class RSA{ public static fina...
APK安全(二)--如何防御
NoClay's Home
09-18 2419
如何防御1.代码混淆原理:“用不能直接猜出含义的通用变量名和函数名a,b,c等”替换编译后程序包中“具有明显语义信息的变量名和函数名”。这样,通过逆向工程得到的只是 难以理解 的代码。从混淆的原理可以得出以下两点信息: 重命名变量名可能会导致程序异常。因为程序是需要跟平台交互的,平台只会以固定类名来调用我们的app,这就涉及到需要屏蔽不能重命名的函数及类 proguard.cfg文件就是起这个作用的
Android解决二次打包漏洞问题
kururunga的博客
06-15 1537
最近由于安全检测有这个高危漏洞,当然解决方法比较少,这里我咨询了一些专业检测机构,将解决问题发不出来以供各位参考。 思路是在应用启动的时候进行签名的判断,首先你写死一个签名,这签名是你正式版本apk的签名(你可以通过在正式包上打log然后运行在手机上获得该签名然后写在application里) 在application的oncreate方法中: if ("your sign".equa...
apk安全保护及处理
路一
01-11 1016
App的安全问题首先是『数据安全』。App本地存储的数据和网络请求数据中有没有涉及到用户的隐私数据。 还有就是『应用自身安全性』。对某个应用进行逆向,看反编译后的代码有没有敏感信息暴露。反编译后对代码修改,插入劫持代码后重新打包,如果存在这种漏洞,对用户和开发者都构成极大的威胁。
如何防止APP被二次打包
戏耍明天的专栏
12-02 3496
要实现代码内部防止APP被二次打包首先得了解APK的机器识别原理,APK的唯一识别是依靠包名和签名来做鉴定的,类似豌豆夹的洗白白、360手机卫士等安全软件对APK的山寨识别,他们就是依赖包名来确定APK然后通过签名来确定其是否山寨。所以说自己的程序内部在启动的时候可以通过获取APK本身的签名然后和正确的签名做对比来识别自己是否被二次打包。 要实现代码内部防止APP被二次打包首先得了解AP
扫描 APK 敏感信息,让你的 APP 更“安全
osfront的博客
03-29 1542
【导语】:APKLeaks 是一个开源的apk 文件敏感信息扫描工具。 简介 APKLeaks是一个apk文件敏感信息扫描工具,它会扫描apk来获取URI、端点和secret信息。 项目地址是:https://github.com/dwisiswant0/apkleaks 安装 PyPi安装: $pip3installapkleaks 源码安装: $gitclonehttps://github.com/dwisiswant0/apkleaks $cdapkleaks/ ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值