第三方加固Android,安卓Hacking Part 12: 使用第三方库加固Shared Preferences

最新推荐文章于 2021-05-26 03:07:58 发布
最新推荐文章于 2021-05-26 03:07:58 发布
阅读量206 收藏
点赞数
文章标签: 第三方加固Android

安卓Hacking Part 12: 使用第三方库加固Shared Preferences

2014-12-18 09:52:38

阅读:0次

在前几期中,我们介绍过Android应用开发过程中Shared Preference的实现,并演示了如何窃取安全防护不足的应用保存的Shared Preferences。本期中我们将学习如何使用一个名为”Secure Preferences”第三方库保护保存在Shared Preferences中的数据。尽管在设备被root的情况下,这个库也没法百分之百的保证应用的安全,但相比于普通的Shared Preferences敏感信息被能得到更好的保护。

0fe37601accb40f562d01e4c567de7f6.png

“Secure Preferences”是一个Shared preferences加密包装库,可以加密保存在XML文件里面的Shared Prefereces数据,并且是开源的。

本文会一步步教你如何在开发过程中使用“Secure Prefereces”库来保卫数据安全。

实战Android Secure Preferences

1、下载”Secure Prefereces”库,地址如下

2、在Eclipse中创建一个新工程。

3、在工程中添加我们刚刚下载的库以便待会用到。该过程类似于将其他库连接到我们的Android应用中去。如果你不知道怎么操作,简单的步骤就是:右击,选择属性,勾上“is Library”,然后将其连接的我们创建的应用中。

4、为了使用“Secure Prefereces”,我们需要在类中对Secure Prefereces进行初始化。

58743530ca22dada8f25a946dfa90b4b.png

5、现在我们就可以想使用普通的Shared Preferences一样,创建一个”Editor”对象来想XML中插入数据。

618ae8f9ee41fe3a8d2711733943f092.png

如上图所示,我们一样使用Editor对象的putString方法来插入数据。

6、使用getString带上必要的参数来读取数据。

0d6ddb8e29d1483b0eff6c5efc1729da.png

上图中的代码读取了一个键值为”PASSWORD”的值,并显示在一个textview中。

这就是”Secure Preferences”在应用开发中的用法。

现在,我们会深入研究下”Secure Preferences”背后的工作,已经它是如何降低数据被窃取的风险的。

这里用到的APK和代码可以在上面的连接下载到。

我们为本文开发的应用的Activity布局中有一个编辑框,两个按钮,一个文本框,一个按钮用于加密并保存编辑框中的数据,另一个用于解密并在文本框中显示数据。如下图:

50ad9897f159c9d72a8de9f5b6cad18a.png

当我们在输入框中输入数据并点击”encrypt and save”按钮的时候,上一届中第五步中的代码就会执行,加密并保存用户输入的数据:

c2a78d70391be207a4d8f35ecd60c58a.png

当我们点击”Decrypt and Display”按钮时,就会读取并解密保存在Shared Preferences中的数据。

现在,我们就来看看数据是怎么被存储到xml文件中的,以及为何可以增加窃密者窃取信息的难度。

前几期中,我们已经知道,Shared Prefercences 的数据保存在一个XML文件中,我们现在先吧这个文件下载到本地计算机中,可以使用如下命令:

adb pull /data/data/com.isi.secureprefs/shared_prefs/com.isi.secureprefs_preferences.xml

ca1bd4736ae6e4097e687188e2a7fb23.png

可以使用cat命令查看文件的内容:

cat com.isi.secureprefs_preferences.xml

3ed902cce7239cba231c4e89881b9dfa.png

如上图,可以看到,这个xml文件中确实保存了数据,但却是经过了加密的数据。

“SecurePreferences”如何工作?

930c50fd742625a61a74f1b598ccaae8.png

Secure Preferences 使用AES来加密数据。在Secure Preferences第一次被初始化的的时候回使用伪随机数来生成一个随机秘钥,并使用这个秘钥来加密保存的键值对,加密结果进过一遍base64后保存到XML文件中。因为AES是一种对此加密算法,所以解密也使用同一个秘钥。

总结

本文介绍了如何加密Shared Preferences中保存的键值对。这中办法能极大的提高设备中保存的数据的安全性。但当设备被root之后,这就不是那么理想了。更好的办法是使用基于密码的加密方式,及更加用户输入的密码来生成加密解密用的秘钥。

相关链接

Image Credit:

目录

王淑媛
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
android+模拟器上gdb,【系列分享】安卓Hacking Part 20:使用GDB在Android模拟器上调试应用程序...
weixin_39728572的博客
05-31 550
预估稿费:100RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿前言在本文中,我们将介绍如何对运行在已经取得root权限的Android设备或模拟器上的进程进行调试。调试进程是一个非常重要的任务,因为通过这种方式,我们就能在应用程序中查找内存损坏等安全漏洞。准备工作1.设置一个Android模拟器2.安装NDK – 可以从下面的链接进行下载然后,我们要做些什么呢?其实我们...
line第三方登录接口文档php,LINE Messaging API SDK for PHP
weixin_31293733的博客
04-12 951
LINE Messaging API SDK for PHPIntroductionThe LINE Messaging API SDK for PHP makes it easy to develop bots using LINE Messaging API, and you can create a sample bot within minutes.DocumentationSee the...
Android代码-android-secure-preferences
08-06
android-secure-preferences About This project uses the Encryption class from: http://www.java2s.com/Code/Android/Security/AESEncryption.htm Gives an implementation of SharedPreferences, which encrypts given values with AES. Environment setup install maven install Android sdk install sdk deployer ( https://github.com/mosabua/maven-android-sdk-deployer ) check out source to a directory. Build mvn clean install Android compatibility Project requires API level 8 due to Base64 Android API level r
android加固系列—6.仿爱加密等第三方加固平台之动态加载dex防止apk被反编译
hua54188292的博客
04-19 724
【版权所有,转载请注明出处。出处:http://www.cnblogs.com/joey-hua/p/5402599.html 】此方案的目的是隐藏源码防止直接性的反编译查看源码,原理是加密编译好的最终源码文件(dex),然后在一个新项目中用新项目的application启动来解密原项目代码并加载到内存中,然后再把当前进程替换为解密后的代码,art模式下也没问题。好了,废话不多说,来看代码,下面是...
第三方加固Android,android studio 开源加固插件 亲测没毛病
weixin_29628611的博客
05-26 391
1.1上传新增了资源混淆,具体参见github先说说写这个插件的目的,其实就是第三方加固不方便还要钱,没有插件打包方便集成,最主要的是不知道别人怎么弄的出现bug和修改需求不方便,所以我就写了个插件,虽然是基础加固但是好过只能用混淆简单保护代码要好,最主要是自己可以随意改。当然还集成分包和多渠道打包的插件功能。首先感谢 packer-ng-plugin 版本1.0.8,Android-Easy-M...
安卓Hacking Part 1: 应用组件攻防
weixin_43639443的博客
12-04 403
随着手机应用的快速增长,手机应用安全成为了目前安全界最热门的一个话题。在这篇文章中,我们来看一下怎样攻击安卓应用组件。 什么是安卓应用组件? 应用组件是组成安卓应用的关键部分。每个应用都是由一个或者多个组件组成,并且每个都是单独调用。这里主要分为4个主要的组件,介绍如下: Activity: 是一个应用程序组件,提供一个屏幕,用户可以用来交互为了完成某项任务(例如打电话,发短信等) Ser...
安卓Hacking Part 6:调试Android应用
weixin_43639443的博客
12-04 243
上一期中,我们介绍了如何用JDB调试Java应用,本期中我们将来学习如何用JDB来调试Android应用,如果某个Android应用是可以被调试的,我们就能在该应用的进程中注入并运行我们自己的代码。 背景介绍 未使本文更加有意思,我开发了一个简单的演示应用,只有一个按钮和一个输入框。 下载: http://yunpan.cn/cf3RVN5fRRC73 (提取码:8734) 运行截图如下: 点击...
NFC-Activity-Monitor:基于Xposed Framework的android模块,可帮助您监视第三方应用程序如何使用NFC
04-30
Xposed Framework模块,可帮助您监视正在使用NFC的第三方应用程序。 入门 先决条件 这是Xposed框架的模块。 为了使用它,您必须启动设备并安装 正在安装 要使用此模块,您必须使用Android Studio克隆此项目,然后...
yasuo:一种ruby脚本,可扫描网络上易受攻击且可利用的第三方Web应用程序
02-02
Yasuo是一个Ruby脚本,可扫描易受攻击的第三方Web应用程序。 在进行网络安全评估(内部,外部,redteam演出等)时,我们经常会遇到易受攻击的第三方Web应用程序或Web前端,这些漏洞使我们能够通过利用众所周知的...
入侵Xbox:第1版反向工程简介Hacking the Xbox: An Introduction to Reverse Engineering, 1st Edition
11-15
本书向您展示了如何打开Xbox,对其进行修改(从外观上的LED颜色更改,安装新电源到添加USB连接器),以及进行必要的更改以使Linux在其上运行。
安卓 Hacking Part 17 破解Android应用
succ
07-21 1826
 本文中,我们将会介绍一些基本的模拟器检测方法并在检测到模拟器时终止程序运行。然后我会介绍攻击者如何用一些免费的工具来绕过这些检测。本文的主要目标是演示攻击者如何通过修改应用来改变其功能。 逆向工程 计算机编程中,逆向工程是一种软件分析技术,用于识别和理解应用程序,通常是为了重新实现程序,或者是仿照程序,抑或是寻找程序弱点并攻击。 Android中进行许多攻击都要求能对应用进行逆向工程
第三方免费加固对比
hzy670800844的博客
11-15 1212
阿里聚安全 链接:http://jaq.alibaba.com/ 上传应用 提供安全扫描(漏洞扫描、恶意代码扫描、仿冒应用扫描) 可以从结果知道漏洞总数,如果是认证过的开发者,可以直接得知漏洞的具体位置。其中还有部分漏洞需要付费扫描。 然后我们可以进行应用加固,其中分快速加固和多渠道加固,可以按需选择 加固包下载(应用需要重新签名) 腾讯云应用乐固 链接:https://www.qcloud...
android 第三方动态库,Android NDK学习 <六> 复杂结构动态库处理和第三方库的移植...
weixin_39631094的博客
05-25 200
获取符号地址。这是插件式程序的必备方式。1. C++大型程序常见的模块组织方式:不少C++大型程序以如下方式设计:1.有一个主程序块,此程序块通常作用是读取配置文件,并根据配置文件动态加载以插件形式提供的功能模块。(即dlopen(插件))并维护主循环,每次循环中依次调用每个插件中的某功能(dlsym(符号)并运行)。在退出时,使用dlclose()将各插件移出内存并退出主循环。2.不同插件同样利...
使用AES加密进行AndroidSharedPreferences存储
海风博客
05-05 1万+
1.概述 SharedPreferencesAndroid提供用来存储一些简单配置信息的机制,其以KEY-VALUE对的方式进行存储,以便我们可以方便进行读取和存储。主要可以用来存储应用程序的欢迎语、常量参数或登录账号密码等。 2.实例 (1)创建项目SharedPreferencesDemo项目 (2)编辑主界面的布局文件main.xml如下:
Android SharedPreferences使用以及原理详解
热门推荐
某熊的技术之路
12-09 6万+
概述 SharedPreferences使用非常简单,能够轻松的存放数据和读取数据。SharedPreferences只能保存简单类型的数据,例如,String、int等。一般会将复杂类型的数据转换成Base64编码,然后将转换后的数据以字符串的形式保存在 XML文件中,再用SharedPreferences保存。     使用SharedPreferences保存key-value对的步骤
Android数据库加解密逆向分析(三)——微信数据库密码破解
未然的博客
06-20 2万+
接着上一篇文章,在上一篇文章中我们通过对Line数据库加密的逆向分析,了解到了对要写入到数据库中的数据加密,读取时再将读取出的数据解密这种Android上的数据库加密方式。这篇文章来通过介绍对微信数据库密码的破解来了解下对整个数据库加密的这种Android数据库加密方式。 一、安装、反编译微信,查找本地数据库 1、直接使用apktool反编译微信,这里微信的版本是6.5.8。虽然腾讯现
Android安全】自带加密光环的SharedPreference
平凡之路
11-25 6981
前言安全问题长久以来就是Android系统的一大弊病,很多人也因此舍弃Android选择了苹果,作为一个Android Developer,我们需要对用户的隐私负责,需要对用户的数据安全倾尽全力,想到这里,我就热血沸腾,仿佛自己化身正义的天使(我编不下去了。。。)。
第三方免费加固横向对比(转)
Golang客栈
02-03 1505
第三方免费加固横向对比 Rabtman11月 20, 2016 bookmarkBOOKMARK 加固 shareSHARE 1100 浏览量分享到微博分享到 Twitter分享到 Google+分享到 QQ分享到 Telegram 前言 基于java开发的android应用由于其语言的特性,
Google Hacking语法指南:探索网络漏洞
"Google Hacking语法是一门技术,用于利用Google搜索引擎来发现网络上的公开信息,包括敏感数据、漏洞和安全问题。Google Hacking Database (GHDB) 是一个收集此类查询的数据库,帮助安全研究人员和渗透测试人员学习...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值