ToB企服应用市场:ToB评测及商务社交产业平台

标题: 移动安全之 APP 加固:保障移动应用安全的紧张手段 [打印本页]

作者: 小秦哥    时间: 2024-10-30 07:16
标题: 移动安全之 APP 加固:保障移动应用安全的紧张手段
目录
移动安全之 APP 加固:保障移动应用安全的紧张手段
一、引言
二、APP 加固的概念
三、APP 加固的原理
(一)安卓 APP 加固原理
(二)iOS APP 加固原理
四、APP 加固的作用
(一)从防御者角度
(二)从攻击者角度(攻击者试图突破加固步调)
五、APP 加固的主要步调及相关代码示例
(一)加壳(dex/so)
(二)文件校验
(三)不返回多余信息
(四)不打印多余信息
(五)封包验签
(六)时间戳验证
(六)https 校验 SSL 证书
(七)敏感数据不落地
(八)对用户做好安全提示
(九)敏感操作进行环境清场
(十)敏感操作进行用户状态二次校验
(十一)手势密码做全局 FLAG
(十二)装备绑定信息糅合多个因子
六、APP 加固平台保举
七、结论


一、引言


随着移动互联网的迅猛发展,移动 APP 在人们生存中的应用越来越广泛。然而,APP 的安全问题也日益凸显。为了保障 APP 的安全,APP 加固成为了一项紧张的技能手段。本文将先容 APP 加固的概念、原理、作用以及相关的加固平台,并从攻击者和防御者的角度进行分析。

二、APP 加固的概念


APP 加固是指对移动应用进行一系列安全处置惩罚,以加强其抵抗各种安全威胁的能力。它不仅仅是对源码进行加壳,还包括对客户端本体的各个方面以及业务安全相关的内容进行掩护。

三、APP 加固的原理


(一)安卓 APP 加固原理


对于安卓 APP,一般加壳是常见的加固方式。其侧重点是对原始的 dex/so/dll 等进行隐蔽、混淆、加花、代码抽离等操作。在步伐运行过程中,对隐蔽加密的原始 dex 再进行还原,以执行原有逻辑。安卓的加壳技能根据强度分为 4 代:


(二)iOS APP 加固原理


对于 iOS APP,现在很多安全厂商的做法是通过 Xcode 插件,在编译过程中对逻辑进行混淆、扁平化处置惩罚等方式来实现加固。

四、APP 加固的作用


(一)从防御者角度



(二)从攻击者角度(攻击者试图突破加固步调)



  1. import subprocess
  2. def decompile_apk(apk_path):
  3.     command = "apktool d " + apk_path
  4.     process = subprocess.Popen(command, stdout=subprocess.PIPE, stderr=subprocess.PIPE)
  5.     output, error = process.communicate()
  6.     if process.returncode == 0:
  7.         return output.decode('utf-8')
  8.     else:
  9.         return error.decode('utf-8')
复制代码


五、APP 加固的主要步调及相关代码示例


(一)加壳(dex/so)


这是安卓 APP 加固的常见方式,如前面所述的对 dex/so 进行各种操作。

(二)文件校验



  1. import android.content.pm.PackageInfo;
  2. import android.content.pm.PackageManager;
  3. import android.content.pm.Signature;
  4. import android.os.Bundle;
  5. import android.support.v7.app.AppCompatActivity;
  6. import android.util.Log;
  7. public class MainActivity extends AppCompatActivity {
  8.     @Override
  9.     protected void onCreate(Bundle savedInstanceState) {
  10.         super.onCreate(savedInstanceState);
  11.         setContentView(R.layout.activity_main);
  12.         try {
  13.             PackageManager pm = getPackageManager();
  14.             PackageInfo pi = pm.getPackageInfo(getPackageName(), PackageManager.GET_SIGNATURES);
  15.             Signature[] signatures = pi.getSignatures();
  16.             // 这里可以进行签名比对,假设正确的签名已经存储在某个变量中,比如correctSignature
  17.             if (signatures[0].equals(correctSignature)) {
  18.                 Log.i("Signature", "签名正确");
  19.             } else {
  20.                 Log.e("Signature", "签名错误");
  21.             }
  22.         } catch (Exception e) {
  23.             Log.e("Signature", "获取签名信息失败");
  24.         }
  25.     }
  26. }
复制代码


(三)不返回多余信息


在 APP 的开发过程中,要注意避免返回多余的信息,防止信息泄露给攻击者。比方,在处置惩罚 API 哀求时,只返回须要的数据,避免返回敏感的调试信息或不须要的内部状态信息。

(四)不打印多余信息


同样,在代码中要避免打印多余的信息,特别是在调试模式下,要确保不会由于打印的信息而泄露敏感信息。

(五)封包验签


对 APP 发送和接收的数据包进行验签,确保数据的完整性和真实性。在 Python 中,可以利用一些加密库(如cryptography)来实现封包验签的相关功能(这里仅为表示,实际应用中需要更复杂的逻辑):

  1. from cryptography.highlevelcrypto import HMAC, hashes
  2. def verify_package_signature(package_data, signature):
  3.     key = "your_secret_key"  # 这里应该使用安全的密钥
  4.     hmac = HMAC(key, hashes.SHA255())
  5.     hmac.update(package_data)
  6.     expected_signature = hmac.finalize()
  7.     return signature == expected_signature
复制代码

(六)时间戳验证


对 APP 中的时间戳进行验证,确保数据的时效性和真实性。比方,在处置惩罚一些时效性较强的业务数据时,通过验证时间戳来判断数据是否有效。

(六)https 校验 SSL 证书


在 APP 与服务器之间的通讯中,假如利用 https 协议,要对 SSL 证书进行校验,确保通讯的安全性。在 Java 中,可以利用javax.net.ssl包中的相关类来实现 SSL 证书的校验(这里仅为表示,实际应用中需要更完善的逻辑):

  1. import javax.net.ssl.HostnameVerifier;
  2. import javax.net.ssl.SSLContext;
  3. import javax.net.ssl.SSLSession;
  4. import javax.net.ssl.TrustManager;
  5. import javax.net.ssl.TrustManagerFactory;
  6. import javax.net.ssl.X509TrustManager;
  7. import java.io.IOException;
  8. import java.security.KeyManagementException;
  9. import java.security.NoSuchAlgorithmException;
  10. import java.security.cert.CertificateException;
  11. import java.security.cert.X509Certificate;
  12. public class SSLValidator {
  13.     public static boolean validateSSLContext(String host) throws KeyManagementException, NoSuchAlgorithmException, CertificateException, IOException {
  14.         SSLContext sslContext = SSLContext.getInstance("TLSv1.2");
  15.         TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
  16.         trustManagerFactory.init(null);
  17.         TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();
  18.         X509TrustManager x509TrustManager = (X509TrustManager) trustManagers[0];
  19.         sslContext.init(null, new TrustManager[] {x509TrustManager}, null);
  20.         HostnameVerifier hostnameVerifier = new HostnameVerifier() {
  21.             @Override
  22.             public boolean verify(HostnameVerifiersession.hostname, SSLSession.hostnameVerifier) {
  23.                 return hostname.equals(session.hostnameVerifier);
  24.             }
  25.         };
  26.         return hostnameVerifier.verify(host, sslContext.getSSLSession(host)) && ssl.open(Session.hostnameVerifier, sslContext.getSSLSession(host));
  27.     }
  28. }
复制代码

(七)敏感数据不落地


在 APP 中,要尽量避免敏感数据在本地装备上留存。假如必须留存,要进行加密处置惩罚。比方,对于用户的登录密码,不要直接存储在本地,而是进行加密存储,并且在利用后及时扫除相关数据。

(八)对用户做好安全提示


在 APP 中要对用户进行须要的安全提示,比方提示用户设置强密码、不要在公共网络上利用 APP 等。

(九)敏感操作进行环境清场


在 APP 进行一些敏感操作时,如登录、转账等,要对环境进行清场,确保没有恶意步伐在后台运行,影响操作的安全性。

(十)敏感操作进行用户状态二次校验


在 APP 进行一些敏感操作时,如登录、转账等,要对用户状态进行二次校验,确保操作的合法性和安全性。

(十一)手势密码做全局 FLAG


对于 APP 中的手势密码,要将其作为一个全局的标志,在 APP 的各个相关模块中进行统一的管理和验证。

(十二)装备绑定信息糅合多个因子


将装备绑定信息与多个因子进行糅合,如装备 ID、MAC 地址、IP 地址等,加强装备识别的精确性和安全性。

六、APP 加固平台保举


市面现在有很多 APP 加固平台,各大厂商也有免费的,像 360、百度、腾讯乐固、网易盾、阿里聚安全。收费的有爱加密、梆梆、娜迦、几维、顶象科技。个人应用一般可以利用 360 的加固。对于实实在运营的企业 app 建议各人利用爱加密的收费版本,收费与免费的区别就是兼容性、应急响应、售后服务的有力支持。爱加密现在技能已经发展到双 VMP (dex+SO) 多重加密,支持多种自定义加固,如防止模仿器运行、防止界面截 图、防止界面挟制、本地数据强加密 (sharedPerence/SQI 数据)、防止内存 Dump 等,并且现在已应支持强大的协议加密。

七、结论


APP 加固是保障移动应用安全的紧张手段。无论是从防御者的角度防止 APP 被攻击,还是从攻击者的角度尝试突破加固步调,都表现了 APP 加固在移动安全领域的紧张性。通过合理选择加固平台和接纳有效的加固步调,可以大大提高 APP 的安全性,掩护用户和企业的利益。

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。




欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/) Powered by Discuz! X3.4