数据泄漏

  • 本地文件敏感数据不能明文保存,不能伪加密(Base64,自定义算法等)
  • android:allowbackup=false. 防止 adb backup 导出数据
  • Activity intent 的数据泄漏。比如通过 getRecentTask 然后找到对应的intent 拿到数据。
  • Broadcast Intent,自己应用内使用 LocaBroadcast,避免被别的应用收到,或者 setPackage做限制。
  • ClipBorad 数据泄漏。
  • WebView settings setSavePassword(false) 这个会明文保存密码。
  • Log 要关闭,防止重要数据泄漏。使用boolean常量开关 或者 proguard 直接优化。
  • 键盘事件的读取预防,/dev/input/event 可以读取到按键和触屏。键盘建议随机布局自定义。
  • 对于截屏 android5.0以及以后 window.setFlag(LayoutParam.FLAG_SECURE) 禁止录屏。

客户端暴露的攻击面

  • 使用外部数据不进行校验,比如app升级,插件安装等,需要对这些数据进行合法性校验。
  • zip解压目录覆盖风险。zip中允许 ../../file 这样的路径。如果一旦解压到当前目录,有可能覆盖上级目录的文件。
  • Android components 不当暴露,不需要export的需要 exported = false。
  • 本地端口开放问题,socket server。尽量不要开放此接口。如果要的话,也只是bind到 127.0.0.1,不要暴露给局域网,避免局域网内恶意代码扫描端口。另外 app 可以通过 读取proc 通过 端口查看是哪个app连接该端口。(收selinux限制)。另外就是使用此方法不要实现一些特别敏感的功能。
  • 开放组件的 dos攻击。开放的 activity service receiver等需要对传入的intent做合法性校验,以及相关的类型转换保护。防止恶意代码攻击。
  • PendingIntent,不要给第三方app发送PendingIntent。避免数据被修改。

界面的劫持

  • 恶意悬浮框,在我们的app上边覆盖一个悬浮框,误导用户点击不合理的按键。这时候需要设置setFilterTouchesWhenObscured 为 false,被别的窗口覆盖的话,不接受按键。
  • 钓鱼窗口,当用户打开我们的界面时,恶意程序也打开一个类似的钓鱼界面。我们需要在关键的界面 onPause的时候 做必要的检查,比如看看栈顶是不是自己的界面。(5.0以后受限制?)
  • ContentProvider sql 注入。参数中包含恶意sql;– 。最简单的是做 sql参数校验。
  • ContentProvider openFile 便利目录风险。

Webview远程方法调用漏洞

  • 4.2以下手机 addJavaScriptInterface 会导致漏洞。js通过 getClass 后获取java 类,然后调用相关函数。系统自己带一个 searchbox_xxx 需要自己移出掉。

不安全的网络通信

  • 中间人攻击。
  • 敏感数据不要明文传输。
  • 恶意wifi可以通过 kali linux 很简单的创建。在商场进行钓鱼。
  • 加密算法
    • RC4 已经过时,不推荐使用。
    • SHA256 最好,不推荐md5 sha1
    • RSA 要 2048 bit,要 padding。
    • 对称加密密钥不要放在代码中。可以协商后保存在本地加密存储。
    • AES 不要使用 ECB 模式,初始化向量不要使用固定的常量。
    • SecureRandome 不要使用setSeed(),使用也不要传入固定值
  • https 中间人攻击
    • cookie 要设置为 secure(secure flag),否则该cookie会在 http会话中传输。
    • 不要使用 SSLv3以及更低版本
    • 在程序中不要自己处理证书相关的校验。
  • SSL证书校验
    • webview onReceivedSslError后 不要自己做什么处理。
    • android 系统中有时候某些手机证书不全,但是也不能忽略该证书错误。
    • 不要覆盖 Trustmanager. checkServerTrusted 不要重写。
    • HostNameVerifier 不要重写。不要不校验 hostname。
  • 如何处理呢?
    • 通过TrustManagerFactory 导入证书。
    • 证书绑定。就是我只认这个证书。自己做 veriry。成本最低。证书可以是自签名的。 # 二进制攻击 #
  • 各种黑产QQ群论坛等,看雪论坛。
    • 重新打包,插入恶意代码
    • 逆向分析
    • 运行时debug,修改数据等
  • 工具
    • apktool,dex2jar, JEB
    • IDA pro (查看 so 代码,F5 汇编转c代码)
    • xposed,Cydia substrate 注入框架
  • 防护
    • 理论上没有100%有效的地域二进制攻击的方法。
    • 但是为啥还要这么做呢?提高门槛,提高成本,提高他的利益成本(有这时间他可以去找些软柿子赚钱去)
    • proguard做混淆
  • 安全性校验
    • 检查apk有没有被修改
    • 检查签名(不靠谱,此处代码可以被修改)。但是有比没有强。黑产都是些批量自动化的,可以防止一些。
    • 增加难度
      • 放在 native代码中
      • 多点检查
      • 检查的代码不要放在退出点,放在比较隐蔽的地方。然后后边别的地方再退出程序。
      • 和网络请求结合,传参数到server,server返回不合法数据等。
  • 反调试,反注入
    • debuggable = false
    • Debug.isDebuggerConnected 进行检查。
    • 监控 JDWP 线程(hook socket,进行数据过滤)
    • 多进程ptrace保护。进程只能被ptrace一次。(多个进程间需要pipe通信监控ptrace进程是否退出,监听到,主程序也退出)
    • 检查tracerPid,被trace后为不为0(也可以被绕过)
    • 检查 gdb android_server gdbserver 是否在手机上(可改名)
    • 检查 xposed框架是否在运行。
    • 检查是否被 hook(java,GOT, inline)
    • 检查设备是否被root或者是在 emulator上运行。
    • 检查 jailbreak(iOS)
  • 字符串混淆加密
    • java native中的字符串都要做混淆。代码放在 native 层。
    • 隐藏native层的函数名, dlsym
    • obfuscator-llvm 混淆 natived代码。支持 SUB FLA BCF 等几种模式。
  • 其他native保护
    • so 中检查签名
    • jni函数名混淆
    • 删除所有不需要 export 的符号。编译选项中设置。
    • elf tricks,设置一些数据让工具 crash。
    • so整体加密。加壳。开源的 upx。
    • 特定函数加密。
  • 应用加固
    • 非定制化方案,无混淆,无字符串加密。
    • hook系统代码,等,有比较大的兼容性问题。
    • 影响启动速度。
    • 无 so 层保护。

自动化扫描工具

  • 360捉虫猎手

app自动检查上报机制

  • 检测到恶意攻击,上报给服务器,可以了解风险面。

转自:Android app security安全问题总结

Android app security安全问题总结相关推荐

  1. 【技术分享】Android App常见安全问题演练分析系统-DIVA-Part1

    只有我看到DIVA的时候想到的是D.VA嘛?!滑稽脸 I. 什么是DIVA DIVA(Damn insecure and vulnerable App)是一个故意设计的存在很多漏洞的Android a ...

  2. 如果让我重新设计一款Android App

    2019独角兽企业重金招聘Python工程师标准>>> 开发工具的选择 开发工具我将选用Android Studio,它是Google官方指定的Android开发工具,目前是1.2. ...

  3. 重新设计一款Android App,我会怎么做?

    开发工具的选择 开发工具我将选用 Android Studio,它是Google官方指定的Android开发工具,目前是1.2.2稳定版,1.3的预览版也已经发布了. Android Studio的优 ...

  4. Android开发——如何设计开发一款Android App

    本文从开发工具选择,UI界面.图片模块.网络模块.数据库产品选择.性能.安全性等几个方面讲述了如果开发一个Android应用.现在整理出来分享给广大的Android程序员兄弟们. 开发工具的选择 开发 ...

  5. flickr app android,Flickr latest Android app(Version: 2.1.5) ContentProvider security issue

    8种机械键盘轴体对比 本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选? 摘要:Flickr latest Android app(Version: 2.1.5) ContentProvider ...

  6. Android平台安全模型(The Android Platform Security Model)

    版权声明:本文为CSDN博主「ashimida@」翻译的文章,转载请附上出处链接和本声明. 本文链接:https://blog.csdn.net/lidan113lidan/article/detai ...

  7. Cordova+Vue实现Android APP开发(二)-- 打包运行在真机上和打包运行在本地调试,以及打包时候一些问题的处理

    接上一篇文章:Cordova+Vue实现Android APP开发(一) 一.使用cordova打包运行app 打包静态资源,没有问题的,但是把自己的vue其他项目转成android app时候,发现 ...

  8. 为你的android App实现自签名的ssl证书

    为你的android App实现自签名的ssl证书(https) 最近公司项目用到https的接口形式,对于一般的网络请求 我们用的是http://******      使用的是 代码用来打开一个  ...

  9. 动态分析Android App之动态调试

    这个系列一共有五篇左右,内容主要介绍如何在Java层动态分析和调试Android App,和网上其他教程相比,内容更充实,体系更健全,深入而浅出. 闻道有先后,术业有专攻,希望能给刚入门Android ...

最新文章

  1. 汇编中的BP与SS组合时,BP里面放的到底是SS中的一个基地址的指针还是基地址本身?
  2. 剑指offer 数值的整次方
  3. 【牛客 - 289 I】这是一个沙雕题I (字符串问题,水题)
  4. WebLogic启动失败:java.lang.AssertionError: Could not obtain the localhost address.
  5. Docker 系列之 常用镜像
  6. mysql行锁表怎么办_mysql - 表锁,行锁
  7. centos 7 开放指定端口
  8. python把工作簿拆分为工作表_python利用openpyxl拆分多个工作表的工作簿的方法
  9. 教孩子编程python 语言 nostarch 下载_教孩子学编程 Python语言版
  10. PAT 1055 集体照
  11. 世界银行的WDI世界发展指标数据EXCEL版本(1960-2017年)
  12. 小米平板刷机shell怎么退_黑龙江省宁安市小米平板1的刷机经历刷入DotOS并退回MIUI-最懂产品的运维...
  13. pageoffice如何离线申请_pageoffice常见问题
  14. kafka topic acl授权
  15. Java 反射机制:(三)类的加载
  16. 深度学习 yolov5等结构图
  17. 量子计算机工作原理如何解释,量子计算机工作原理
  18. 微信官方小程序「公众号数据助手」终于来啦
  19. 《人类简史》九、科学革命——承认自己无知的革命
  20. OSPF---路由备份的设计实验

热门文章

  1. 陕西省计算机考研学校,陕西省有哪些考研院校?哪些高校考研比较容易,性价比高?...
  2. 【学习】语音和图像上的自监督模型
  3. windows 10 开启vt-x
  4. Android中的elevation
  5. Set中的HashSet和TreeSet特点及用法
  6. sh_update_eop 更新eop
  7. 去信任外包虚荣地址生成
  8. angularjs学习总结 详细教程
  9. 观察者模式——应聘者和应聘公司的关系
  10. 微信公众号消息列表首次大改版!自媒体“均贫富”前夜?