Android app security安全问题总结
数据泄漏
- 本地文件敏感数据不能明文保存,不能伪加密(Base64,自定义算法等)
- android:allowbackup=false. 防止 adb backup 导出数据
- Activity intent 的数据泄漏。比如通过 getRecentTask 然后找到对应的intent 拿到数据。
- Broadcast Intent,自己应用内使用 LocaBroadcast,避免被别的应用收到,或者 setPackage做限制。
- ClipBorad 数据泄漏。
- WebView settings setSavePassword(false) 这个会明文保存密码。
- Log 要关闭,防止重要数据泄漏。使用boolean常量开关 或者 proguard 直接优化。
- 键盘事件的读取预防,/dev/input/event 可以读取到按键和触屏。键盘建议随机布局自定义。
- 对于截屏 android5.0以及以后 window.setFlag(LayoutParam.FLAG_SECURE) 禁止录屏。
客户端暴露的攻击面
- 使用外部数据不进行校验,比如app升级,插件安装等,需要对这些数据进行合法性校验。
- zip解压目录覆盖风险。zip中允许 ../../file 这样的路径。如果一旦解压到当前目录,有可能覆盖上级目录的文件。
- Android components 不当暴露,不需要export的需要 exported = false。
- 本地端口开放问题,socket server。尽量不要开放此接口。如果要的话,也只是bind到 127.0.0.1,不要暴露给局域网,避免局域网内恶意代码扫描端口。另外 app 可以通过 读取proc 通过 端口查看是哪个app连接该端口。(收selinux限制)。另外就是使用此方法不要实现一些特别敏感的功能。
- 开放组件的 dos攻击。开放的 activity service receiver等需要对传入的intent做合法性校验,以及相关的类型转换保护。防止恶意代码攻击。
- PendingIntent,不要给第三方app发送PendingIntent。避免数据被修改。
界面的劫持
- 恶意悬浮框,在我们的app上边覆盖一个悬浮框,误导用户点击不合理的按键。这时候需要设置setFilterTouchesWhenObscured 为 false,被别的窗口覆盖的话,不接受按键。
- 钓鱼窗口,当用户打开我们的界面时,恶意程序也打开一个类似的钓鱼界面。我们需要在关键的界面 onPause的时候 做必要的检查,比如看看栈顶是不是自己的界面。(5.0以后受限制?)
- ContentProvider sql 注入。参数中包含恶意sql;– 。最简单的是做 sql参数校验。
- ContentProvider openFile 便利目录风险。
Webview远程方法调用漏洞
- 4.2以下手机 addJavaScriptInterface 会导致漏洞。js通过 getClass 后获取java 类,然后调用相关函数。系统自己带一个 searchbox_xxx 需要自己移出掉。
不安全的网络通信
- 中间人攻击。
- 敏感数据不要明文传输。
- 恶意wifi可以通过 kali linux 很简单的创建。在商场进行钓鱼。
- 加密算法
- RC4 已经过时,不推荐使用。
- SHA256 最好,不推荐md5 sha1
- RSA 要 2048 bit,要 padding。
- 对称加密密钥不要放在代码中。可以协商后保存在本地加密存储。
- AES 不要使用 ECB 模式,初始化向量不要使用固定的常量。
- SecureRandome 不要使用setSeed(),使用也不要传入固定值
- https 中间人攻击
- cookie 要设置为 secure(secure flag),否则该cookie会在 http会话中传输。
- 不要使用 SSLv3以及更低版本
- 在程序中不要自己处理证书相关的校验。
- SSL证书校验
- webview onReceivedSslError后 不要自己做什么处理。
- android 系统中有时候某些手机证书不全,但是也不能忽略该证书错误。
- 不要覆盖 Trustmanager. checkServerTrusted 不要重写。
- HostNameVerifier 不要重写。不要不校验 hostname。
- 如何处理呢?
- 通过TrustManagerFactory 导入证书。
- 证书绑定。就是我只认这个证书。自己做 veriry。成本最低。证书可以是自签名的。 # 二进制攻击 #
- 各种黑产QQ群论坛等,看雪论坛。
- 重新打包,插入恶意代码
- 逆向分析
- 运行时debug,修改数据等
- 工具
- apktool,dex2jar, JEB
- IDA pro (查看 so 代码,F5 汇编转c代码)
- xposed,Cydia substrate 注入框架
- 防护
- 理论上没有100%有效的地域二进制攻击的方法。
- 但是为啥还要这么做呢?提高门槛,提高成本,提高他的利益成本(有这时间他可以去找些软柿子赚钱去)
- proguard做混淆
- 安全性校验
- 检查apk有没有被修改
- 检查签名(不靠谱,此处代码可以被修改)。但是有比没有强。黑产都是些批量自动化的,可以防止一些。
- 增加难度
- 放在 native代码中
- 多点检查
- 检查的代码不要放在退出点,放在比较隐蔽的地方。然后后边别的地方再退出程序。
- 和网络请求结合,传参数到server,server返回不合法数据等。
- 反调试,反注入
- debuggable = false
- Debug.isDebuggerConnected 进行检查。
- 监控 JDWP 线程(hook socket,进行数据过滤)
- 多进程ptrace保护。进程只能被ptrace一次。(多个进程间需要pipe通信监控ptrace进程是否退出,监听到,主程序也退出)
- 检查tracerPid,被trace后为不为0(也可以被绕过)
- 检查 gdb android_server gdbserver 是否在手机上(可改名)
- 检查 xposed框架是否在运行。
- 检查是否被 hook(java,GOT, inline)
- 检查设备是否被root或者是在 emulator上运行。
- 检查 jailbreak(iOS)
- 字符串混淆加密
- java native中的字符串都要做混淆。代码放在 native 层。
- 隐藏native层的函数名, dlsym
- obfuscator-llvm 混淆 natived代码。支持 SUB FLA BCF 等几种模式。
- 其他native保护
- so 中检查签名
- jni函数名混淆
- 删除所有不需要 export 的符号。编译选项中设置。
- elf tricks,设置一些数据让工具 crash。
- so整体加密。加壳。开源的 upx。
- 特定函数加密。
- 应用加固
- 非定制化方案,无混淆,无字符串加密。
- hook系统代码,等,有比较大的兼容性问题。
- 影响启动速度。
- 无 so 层保护。
自动化扫描工具
- 360捉虫猎手
app自动检查上报机制
- 检测到恶意攻击,上报给服务器,可以了解风险面。
转自:Android app security安全问题总结
Android app security安全问题总结相关推荐
- 【技术分享】Android App常见安全问题演练分析系统-DIVA-Part1
只有我看到DIVA的时候想到的是D.VA嘛?!滑稽脸 I. 什么是DIVA DIVA(Damn insecure and vulnerable App)是一个故意设计的存在很多漏洞的Android a ...
- 如果让我重新设计一款Android App
2019独角兽企业重金招聘Python工程师标准>>> 开发工具的选择 开发工具我将选用Android Studio,它是Google官方指定的Android开发工具,目前是1.2. ...
- 重新设计一款Android App,我会怎么做?
开发工具的选择 开发工具我将选用 Android Studio,它是Google官方指定的Android开发工具,目前是1.2.2稳定版,1.3的预览版也已经发布了. Android Studio的优 ...
- Android开发——如何设计开发一款Android App
本文从开发工具选择,UI界面.图片模块.网络模块.数据库产品选择.性能.安全性等几个方面讲述了如果开发一个Android应用.现在整理出来分享给广大的Android程序员兄弟们. 开发工具的选择 开发 ...
- flickr app android,Flickr latest Android app(Version: 2.1.5) ContentProvider security issue
8种机械键盘轴体对比 本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选? 摘要:Flickr latest Android app(Version: 2.1.5) ContentProvider ...
- Android平台安全模型(The Android Platform Security Model)
版权声明:本文为CSDN博主「ashimida@」翻译的文章,转载请附上出处链接和本声明. 本文链接:https://blog.csdn.net/lidan113lidan/article/detai ...
- Cordova+Vue实现Android APP开发(二)-- 打包运行在真机上和打包运行在本地调试,以及打包时候一些问题的处理
接上一篇文章:Cordova+Vue实现Android APP开发(一) 一.使用cordova打包运行app 打包静态资源,没有问题的,但是把自己的vue其他项目转成android app时候,发现 ...
- 为你的android App实现自签名的ssl证书
为你的android App实现自签名的ssl证书(https) 最近公司项目用到https的接口形式,对于一般的网络请求 我们用的是http://****** 使用的是 代码用来打开一个 ...
- 动态分析Android App之动态调试
这个系列一共有五篇左右,内容主要介绍如何在Java层动态分析和调试Android App,和网上其他教程相比,内容更充实,体系更健全,深入而浅出. 闻道有先后,术业有专攻,希望能给刚入门Android ...
最新文章
- 汇编中的BP与SS组合时,BP里面放的到底是SS中的一个基地址的指针还是基地址本身?
- 剑指offer 数值的整次方
- 【牛客 - 289 I】这是一个沙雕题I (字符串问题,水题)
- WebLogic启动失败:java.lang.AssertionError: Could not obtain the localhost address.
- Docker 系列之 常用镜像
- mysql行锁表怎么办_mysql - 表锁,行锁
- centos 7 开放指定端口
- python把工作簿拆分为工作表_python利用openpyxl拆分多个工作表的工作簿的方法
- 教孩子编程python 语言 nostarch 下载_教孩子学编程 Python语言版
- PAT 1055 集体照
- 世界银行的WDI世界发展指标数据EXCEL版本(1960-2017年)
- 小米平板刷机shell怎么退_黑龙江省宁安市小米平板1的刷机经历刷入DotOS并退回MIUI-最懂产品的运维...
- pageoffice如何离线申请_pageoffice常见问题
- kafka topic acl授权
- Java 反射机制:(三)类的加载
- 深度学习 yolov5等结构图
- 量子计算机工作原理如何解释,量子计算机工作原理
- 微信官方小程序「公众号数据助手」终于来啦
- 《人类简史》九、科学革命——承认自己无知的革命
- OSPF---路由备份的设计实验