【Android安全】安卓app 防篡改方案总结

已于 2022-09-03 13:40:37 修改
阅读量1.3k 收藏 1
点赞数
分类专栏: 安卓安全 文章标签: android 安全
于 2022-08-22 22:42:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39441603/article/details/126474542
版权

安卓app Anti-Tampering方案总结

参考:
【JISA20】A Large-Scale Study on the Adoption of Anti-Debugging and Anti-Tampering Protections in Android Apps

JISA是CCF-C类期刊

(1)Signature Checking

关于app证书及其校验,参见https://blog.csdn.net/qq_39441603/article/details/123767506

(2)Code Integrity Checking

计算文件(例如,资源文件或程序文件)hash值,并和预设的合法值进行比较
例如,app可以使用Zipentry库来计算文件CRC校验码。

(3)Installer Verification

安装渠道检查
app可以调用PackageManager.getInstallerPackageName API 来获取 安装了当前app 的app的包名

(4)SafetyNet Attestation

Google的经典远程证明框架:

  • 由GMS中的SafetyNet相关服务,不断采集设备信息,发送给Google Server
  • Google Server基于这些信息完成设备完整性判断
  • app集成SafetyNet SDK,当需要检查设备完整性时,发送nonce给Google Server,获取JWS签名过的判断结果
  • !!!注意,被签名的判断结果中,包含GMS获取到的app包证书摘要。所以SafetyNet除了用于设备完整性检测,也用于app客户端完整性检测

文中的一些数据性结论

  • Our analysis shows that 59% of these apps implement neither Anti-Debugging nor Anti-Tampering protections
    41%的app使用了Anti-Debugging或Anti-Tampering protections

  • half of the remaining apps deploy only one protection
    41%中约一半的app只使用了Anti-Debugging或Anti-Tampering中的一项

  • We also observe that app developers prefer Java to Native protections by a ratio of 99 to 1

Jouzzy
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android数据传输增加签名认证(防止数据被篡改
落雨惊风的技术博客
03-26 1468
我们开发的客户端项目,跟服务器通信的时候,一般都是HTTP明文的形式进行的,这样的数据很容易被别人截取,如果被截取的信息是比较敏感的数据,并且数据没有进行加密,被随意的篡改成,那后果不堪设想。还好,目前来说有比较好的签名算法,下面是PHP版本的(微信数据验证就是用下面的方法):       算法的原理是这样的:假设我们请求的网址是http://xxxx.com,要传过去的数据是username=
Android APK加密防止Android应用被篡改
12-26
Android APK加密防止Android应用被篡改Android应用篡改,加密技术篡改
Android App篡改
moyefeng198436的专栏
08-13 979
App打开时,将哈希值传到后端做比对,返回比对结果。若比对不通过,关闭appapp安卓端获取apk哈希值: /** * 校验完整性 * @return */ public String getCode() { String apkPath = getPackageCodePath(); MessageDigest msgDigest = null; FileInputStream fis = null; try { msgDigest = MessageDigest.ge
android 安卓应用 二次打包 重签名 篡改 安全加固
07-22
目前移动领域出现了相当部分的安全问题,新的恶意软件层出不穷,同时,企业对敏感数据保密性意识日益提高,作为移动开发者,有责任对最终用户的隐私和安全承担更多责任。另一方面,APP篡改、盗用,直接伤害了开发者的知识和劳动权益,移动开发者有必要保护自己的利益不受损失。 这里实现了安卓移动APP二次打包、重签名、篡改的自动化一键式加固工具。成熟的安全加固方案,均已实现和投入使用,解决了企业和个人的安全问题。针对开发者指定的移动应用(apk),以本地工具的方式,自动完成加固。技术实现上,类似360加固宝、梆梆加固、爱加密、阿里聚安全类似。实现了: - 签名运行时校验 - 资源文件运行时校验 - dex资源运行时校验 - 其他资源运行时校验 保护个人移动应用或企业数据的安全性。如有源码需要,请联系作者本人。QQ:164836265
Android 应用程序反逆向、反篡改防止二次打包以及目前各大主流安全平台加固方案对比相关博客汇总
寒风的博客
01-20 1577
1.android-加固方案对比 http://blog.csdn.net/u011216417/article/details/70307031 2.Android smali 语法一 http://blog.csdn.net/u012417380/article/details/51262634 3.APK的安全(二)--如何御 http://blog.csdn.net/qq_27035
中国信通院推出了一个“APP签名服务系统,可篡改、可追溯、第三方认证“的初步了解
CXW1014的专栏
08-12 820
想当初https刚出来时候只有一些大公司用,但现在小公司都不得不用了,本来https证书能自己创建的,也很安全,但被浏览器标记为不可信,那就必须要买了,还挺贵的, 但也没办法。当时还使用了腾讯的乐固进行了加固,但是还是被破解了,他们破解后,改了个包名,应用内植入一些广告,然后放在吾爱破解网站上。但是国内搞软件破解和盗版的技术太牛逼了, 就算签名了,应用分分钟被破解,我们公司之前的一个应用就是这样,找了一圈也没有找到使用此服务的费用说明,这并不代表这个是免费的,因为上图邮件里说了,也不知道工信部出的这个。..
Android “Janus”安全漏洞及其规避方案
12-12
此漏洞允许攻击者在不破坏应用原有签名的情况下进行篡改,导致APP安全性严重下降。 一、漏洞解析 "Janus"漏洞主要在于Android系统的签名验证机制存在缺陷。在Android 7.0之前,系统采用signature scheme V1签名,...
金融APP安全分析.pdf
09-11
在当前开放的移动环境中,由于Android系统的普及,金融APP安全性显得尤为重要。由于平台的开放性,黑客可以轻易获取应用的源码,进行逆向工程,从而揭示敏感信息,如操作流程、算法逻辑、密码存储等。此外,第三方...
基于APP分层结构的Android应用漏洞分类法.pdf
08-26
总结来说,基于APP分层结构的Android应用漏洞分类法(LSA)提供了一个全面、科学的框架,用于理解和解决Android应用中的安全问题。通过对组件、数据、源文件和业务逻辑层面的漏洞进行分类,LSA提高了安全评估的效率...
Android应用安全解决方案
weixiang106的博客
06-10 278
Android应用会遇到各种各样的安全性问题,如何从宏观上了解各种安全隐患,积极采取适当的御措施便变得尤为重要。那么,Android应用面临哪些安全问题呢? 病毒关键信息泄露APP重打包进程被劫持数据在传输过程遭劫持Webview漏洞   病毒不用多说了,都是一些恶意软件。关键信息泄露,可能有些开发者并不十分留意。虽然Java代码可以做混淆,但是Android的几大组件的创建方式是依
App恶意篡改严重
aijiami0的专栏
06-04 1395
中国IT研究中心4月份发布的《2014年Q1中国手机安全产品市场调研报告》显示,93.7%的用户担心手机安全问题,很大一部分手机安全问题是App漏洞导致的。各项数据指明,App手机应用程序篡改给不法分子带来了巨额的盈利,同时也侵害了全国亿万手机软件用户和正版软件开发单位、个人的权益。 App恶意篡改严重 为什么会有那么多恶意篡改手机App谋取私利的情况出现?一方面是因为篡改手机Ap
防止请求被篡改,从而对请求签名及API接口签名认证
qq_49278026的博客
07-23 982
防止请求被篡改的解决方案,对请求参数进行签名的思路及实现
android安全】之防止apk被篡改后重编译。
lchli1314的专栏
07-14 3687
现状:很多apk会被黑客反编译成smali文件,然后修改或植入恶意代码后重新编译成apk发布到市场。 解决要点: 1,代码混淆。(此法容易被攻破) 2,apk运行时进行签名验证和crc校验码验证。(此法的验证代码容易被黑客注销掉,使之不起作用) 个人总结的比较安全的解决方式:(这里不考虑网络通信被中间人拦截情况,后面会给出防止网络拦截的ssl验证方法) 1)服务器保存发布时apk的加密的
Android如何防止apk程序被反编译
dghggij的博客
10-30 274
分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.csdn.net/jiangjunshow也欢迎大家转载本篇文章。分享知识,造福人民,实现我们中华民族伟大复兴!                作为Android应用
Android 安全逆向:篡改你的位置信息
陈宇明
07-27 782
作者博客https://my.oschina.net/u/1433837/home文章目录前言准备工作逆向分析回编译,二次打包验证一些建议声明1前言 前几天,一个哥们向我提了一个需求,怎...
测试app漏洞_APP漏洞方案攻击解决办法
weixin_34323587的博客
12-31 371
目前在国内很多项目都有手机端APP以及IOS端,但对于安全性问题无法确保,常常出现数据被篡改,以及会员金额被篡改,或是被入侵和攻击等问题,接下来由小蚁云安全渗透测试工程师带大家更深入的了解如何做APP安全护以及漏洞检测原理机制。随着智能手机等移动终端设备的普及,人们逐渐习惯了使用应用客户端上网的方式,而智能终端的普及不仅推动了移动互联网的发展,也带来了移动应用的爆炸式增长。移动APP面临的威胁...
android 资源被窜改,”篡改“已加固APK资源文件及名称的第二种方案
weixin_33215027的博客
05-26 450
楼主大大 可以教我 如何将两个APK合并成一个APK吗?我有方法但不会实践方法一,Eclipse开发环境中整合:1. 工程原来是两个APK,InnerAPK和OuterAPK,里面都只有一个Activity,分别为InnerActivity和OuterActivity。2. 在InnerAPK工程上选择右键,选择Properties->Android,勾选Is Library,然后选择App...
Burp Suite Professional 针对APP抓包篡改数据提交【安全
weixin_30566149的博客
05-05 632
Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。 工具 Burp SuiteProfessional 手机一台 步骤 ...
android studio安卓app
最新发布
05-11
Android Studio是一款由Google开发的集成开发环境(IDE),它专门用于开发Android应用程序。使用Android Studio,您可以轻松地创建和管理Android应用程序项目,并使用其强大的工具来编写、调试和测试您的代码。同时...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值