开头啰嗦几句
应某些屌丝要求,前几天有幸反编译了几款视频APP,并用xposed插件修改了一遍,并在此基础上总结了一下Android的数据安全问题。刚入门还请大神多多指教。
Android数据安全问题
其实,从网上随便找一个Apk文件反编译一下,很多数据直接就暴露出来了。
截图是XX教育公司的反编译代码。
代码是从我原公司离职的某员工带走的,反编译一下发现连原公司的APPKey都没有替换就拿去用,这个让人真的很气愤,无奈领导不关心。
说点正事
- 网络请求抓包
对于HTTP请求的安全性,无需多言,对于普通不需要加密的内容倒是无所谓,涉及到用户信息,仍然很有APP使用HTTP请求,这就相当于在菜市场说我的支付宝密码是123123。 - 数据加密
对于数据加密,相信只要有用户系统的APP都会有加密措施,然而,某些加密措施仅仅是用了MD5!加密不重要的内容可以,他去用来加密用户密码。虽然在菜市场上没有明说我支付宝密码是123123,但你用的是(3-2,1+1,1+2,3-2,1+1,1+2)。
- 签名校验 签名校验,尤其是token的校验是非常重要的;
XX视频从SharePreference中获取token
该视频软件的token生成规则就是一个随机数,后台没有校验token的合法性。因此随机生成一个token,并用xposed修改一下他的返回值,就是一个新用户,随便使用新用户的权限。
findAndHookMethod(
"com.xxxx.xxxx.xxx.utils.PreferencesUtil",
loadPackageParam.classLoader,
"getString",
String.class, String.class, new XC_MethodHook() {
@Override
protected void afterHookedMethod(MethodHookParam param) throws Throwable {
if (param.args[0].equals("auth_token")) {
param.setResult(token);
}
}
});
private String getToken() {
StringBuilder builder = new StringBuilder();
for (int i = 0; i < 64; i++) {
builder.append((int) (Math.random() * 10));
}
return builder.toString();
}
- 加密方法
对于java来说,反编译是非常简单的一件事。加密算法再好,难度再高,反编译后拿到java代码之后还有什么意义?
这是抖X(不是抖音)的图片解密过程,这仅仅用了常用的加密,就算加密过程再复杂,再高深,再难破解,在代码面前还不是一样在裸奔。
说点总结
说到总结,其实是为了增大反编译的难度,任何系统都是有漏洞的,只要你破解成本比得到的回报要高,那就是成功的。
- 用HTTPS请求
这个不用多解释,HTTP请求实在是在裸奔。 - 代码混淆加固
代码混淆加固,能很大程度上增加反编译阅读代码的难度,在代码量很大的情况下,想要找到代码逻辑是非常困难的事,增加了很多反编译成本。 - 资源不要写到java代码中
对于反编译来说,最高兴的莫过于此,看到你代码里的内容在APP上找到对应的内容后,很快就能摸清楚代码逻辑,即使代码混淆了,对应APP内容找逻辑还是很简单的。 - 涉及敏感信息要签名校验
敏感信息的校验,意思是不是别人说一句话就相信。你得先看看这句话是不是自己人说的。我说给支付宝xxx@qq.com转100块,难道你不看看这话是谁说的? - 机密信息、算法写到NDK中
NDK的反编译难度比java大很多,签名算法和key用NDK编写,能拦住一大部分反编译的人,包括我这个菜鸟。
总结的总结
我觉得上边所说,都是平时偷懒的结果,为了快点完成需求,能偷懒就偷懒,字符串直接写在java代码中,能凑合用的加密就凑合用。
为了数据安全,该谨慎的地方还是要谨慎些。