[整理]Android移动开发之数据传输安全

最新推荐文章于 2022-08-12 20:17:21 发布
最新推荐文章于 2022-08-12 20:17:21 发布
阅读量3.9k 收藏 8
点赞数 1
分类专栏: 技术杂烩 文章标签: SSL证书验证 Android数据传输安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zihao2012/article/details/44310527
版权
本文探讨了Android移动开发中数据传输的安全问题,强调了减少短信发送敏感信息和应用内加密的重要性。针对SSL劫持攻击,提出了服务器证书锁定、根证书锁定+域名验证等解决方案,并分析了各种方案的优缺点。
摘要由CSDN通过智能技术生成

Android移动开发之数据传输安全

整理自 Fish_Ou

0x0 概述

       移动应用很多时候并非孤立存在,在多数场景下存在前、后台以及第三方服务之间进行数据交互,因此,在网络中传输敏感数据在所难免,如果不使用正确安全的传输方式,有可能存在敏感信息泄漏的风险。

0x1安全准则

A.使用SSL协议(或基于SSL的协议)传输敏感数据。
B.验证服务器证书的有效性,防止中间人攻击,当证书有效性验证失败时应强行断开连接,而不是提示用户。
C.尽可能地减少使用短信发送敏感信息。
D.增强项:应用程序可以对敏感数据进行一次独立加密后再通过SSL进行传输。

0x2详细描述

        可以使用“证书锁定”(certificate pinning)的方式验证证书的有效性,即在代码中精确的验证当前服务器是否持有某张指定的证书。X509TrustManager接口是实现证书锁定一种方法,它通过在SSL回调函数中读取服务器证书密钥并和程序预埋的证书密钥进行对比,如果两者不一致则强行断开链接。
  • 任何申请了READ_SMS permission的应用都可以读取短信内容,故应尽量减少使用短信发送敏感信息。
  • 应用自身进行一次独立加密的好处是,当出现SSL协议相关漏洞(比如影响巨大的openssl heart bleed漏洞)时能够有效减少损失。
  • “证书锁定”的缺点是:由于证书是预埋在应用程序内的,是当服务器更新证书时,应用程序也要同步更新。

最低0.47元/天 解锁文章
随笔日志
关注
专栏目录
Android网络数据传输安全——AES加密解密(ECB模式)
程龙的博客
03-19 1487
AES介绍 高级加密标准(英语:Advanced Encryption Standard,缩写:AES),在密码学中又称Rijndael加密法,是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES,已经被多方分析且广为全世界所使用。经过五年的甄选流程,高级加密标准由美国国家标准与技术研究院(NIST)于2001年11月26日发布于FIPS PUB 197,并在2002年5月26日成...
《导航贴》-Android手册,重温移动开发
热门推荐
空名先生
03-05 2万+
Android导航帖 - 百分百不断更新!! 专注于Android/Unity和各种游戏开发技巧,以及各种资源分享(网站、工具、素材、源码、游戏等)
android 数据传输安全
weixin_34212189的博客
04-09 99
为什么80%的码农都做不了架构师?>>> ...
android 开发传输安全,移动应用安全开发指南(Android)--数据传输
weixin_32655655的博客
05-27 192
概述 移动应用很多时候并非孤立存在,在多数场景下存在前、后台以及第三方服务之间进行数据交互,因此,在网络中传输敏感数据在所难免,如果不使用正确安全的传输方式,有可能存在敏感信息泄漏的风险。安全准则 A.使用SSL协议(或基于SSL的协议)传输敏感数据。B.验证服务器证书的有效性,防止中间人攻击,当证书有效性验证失败时应强行断开连接,而不是提示用户。C.尽可能地减少使用短...
Android应用安全数据传输安全
weixin_33962923的博客
04-13 250
  Android软件通常使用WIFI网络与服务器进行通信。WiFi并非总是可靠的,例如,开放式网络或弱加密网络中,接入者可以监听网络流量;攻击者可能 自己设置WIFI网络钓鱼。此外,在获得root权限后,还可以在Android系统中监听网络数据。 不加密地明文传输敏感数据   最危险的是直接使用HTTP协议登录账户或交换数据。例如,攻击者在自己设置的钓鱼网络中配置DNS服务器,将软件要连接的...
整理Android开发、Java、数据结构与算法、计算机网络和操作系统等面试题.zip
最新发布
10-03
在IT行业中,尤其是在软件开发领域,面试通常会涵盖多个关键领域的知识,包括但不限于Android开发、Java编程、数据结构与算法、计算机网络以及操作系统。这些领域是构建高效、稳定且功能丰富的应用程序的基础。以下...
基于Android的健康终端应用数据采集与传输的研究.pdf
09-21
生理信号采集端通过各种传感器测量人体生理指标,利用内置的蓝牙模块将数据传输Android移动设备。移动终端接收到数据后,进行预处理并以可视化形式展示,随后将数据发送至远程云平台进行深度分析。云平台根据分析...
Android 音视频开发——录屏直播,android开发蓝牙传数据
m0_66264588的博客
02-18 421
timeStamp = System.currentTimeMillis(); } // 接下来就是 MediaCodec 常规操作,获取 Buffer 可用索引,这里不需要获取输出索引,内部已经操作了 int outputBufferIndex = mediaCodec.dequeueOutputBuffer(bufferInfo,100_000); if (outputBufferIndex >=0){ // 获取到了 ByteBuffer byteBuffer = mediaCodec.getO
APP与后台服务器数据通讯的安全问题
02-26
android移动开发与后台进行数据通讯的协议和方式方法,以及存在的安全问题有哪些,以及这些问题的解决方法
使用AIDL发送数据
12-24
程序流程: 1.点击启动服务按钮; 2.不断发送“Hello world AIDL通信测试!”给AidlService 3.发送成功显示:发送的数据(从服务回调数据上来) DOMO目的:运用AIDL发送数据");
Android利用Json来进行网络数据传输
11-21
Android利用Json来进行网络数据传输
android socket 网络数据传输
cxy19892的专栏
07-11 1208
原文:http://blog.sina.com.cn/s/blog_726233070100nqw7.html 讲解一下android socket ,包括获取数据包,拆包,解包的过程。 有时候应用程序需要从网络上收发一些数据,软件的底层是用socket实习的,android操作系统的内核是linux,开发语言是java,刚好数据存储结构和以c构建的服务器大小头是相反的,所以取到c
移动互联网信息传输安全现状分析
snjezana的博客
09-15 2122
这是2017年3月份有关移动市场的统计数据,移动app的数量已经突破10亿。移动安全也成为了一个全民关注的问题。从最初的app只针对功能实现,爆出来了一系列的高危漏洞之后,应运而生了包括移动app检测、app加固保护等工作来保护开发者以及使用者权益。同时,http的明文数据传输问题也得到了有效解决。我们本篇文章的讨论内容还是从数据传输过程中所引发的一系列安全问题。 ![这里写图片描述](http...
Android网络数据传输格式Json和Xml
Zachary的基地
12-14 893
看到书上一句话:"没有网络的移动端是痛苦的,与世界交互才成就移动端的魅力"!想深入学习安卓开发也是网络请求必须掌握的。 题外话:今年的安卓整个工作环境萧条,真的不好找工作,各大培训机构涌起,填鸭式培训了一大批“人才”,本人不喜欢培训,也许是对于自己学习能力的自信吧,不论前途如何,努力的人最后总是可以自信的展开笑容。 有很多框架可以获取Json和Xml格式的数据,大大方便了程序员的快速集成和使用...
基于Android数据传输wifi,基于ANDROID平台的WIFI文件传输系统的研究与实现
weixin_36078354的博客
05-26 338
摘要:近年来,现代移动通信设备已经迈进多功能化和智能化领域,Android手机操作系统取得了空前的发展.随着智能终端设备的硬件性能和存储容量的迅猛提升,用户之间的数据分享和交互也变得越来越重要.然而,当前的蓝牙技术作为移动设备之间点对点无线文件传输的主要方式,其低下的效率和复杂的操作已经不能满足用户的使用需求.为此,本文提出了一种采用Wi-Fi网络的无线文件传输方案,替代了蓝牙的无线传输功能,使得...
确保Android上的通信安全
代码教主
06-20 659
在最近发生的所有数据泄露事件中,隐私已成为重要的话题。 几乎每个应用程序都通过网络进行通信,因此考虑用户信息的安全性很重要。 在这篇文章中,您将学习确保Android应用程序通信安全的最新最佳做法。 使用HTTPS 在开发应用程序时,最佳做法是将网络请求限制为必不可少的请求。 对于必不可少的内容,请确保它们是通过HTTPS而不是HTTP制作的。 HTTPS是一种对流量进行加密的协议,这样它...
Android网络通信(HttpURLConnection)和 数据传输格式(JSON)
weixin_63261150的博客
08-12 2062
在JDK的java.net包中已经提供了访问HTTP协议的基本功能的类:。是Java的标准类,它继承自,可用于向指定网站发送GET请求、POST请求。它在的基础上提供了如下便捷的方法://获取服务器的响应代码。//获取服务器的响应消息。//获取发送请求的方法。//设置发送请求的方法。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值