2021-04-07

做好的apk文件,被检测工具检测出一大堆风险问题,是不是感觉自己的付出白费了,今天咱就聊聊android的安全防范问题。

一,先说安全检查方面的吧

1,源文件安全问题方面

  1. 篡改和二次打包风险
  2. 应用签名未校验风险
  3. 3Java代码反编译风险检测
  4. 4代码未混淆风险检测
  5. 5资源文件泄露风险检测

2,数据存储安全问题方面

     2.1 WebView明文存储密码风险检测

     2.2Internal Storage数据全局可读写风险检测

     3.3加密算法不安全使用风险

     4.4日志数据泄露风险

     4.5URL硬编码风险

3,组件风险

     3.1Activity组件导出风险

     3.2Service组件导出风险

     3.3Content Provider组件导出风险

     3.4Broadcast Receiver组件导出风险

     3.5WebView远程代码执行漏洞

     3.6Intent Scheme URL攻击风险

4,安全防护能力

     4.1Java层代码动态调试风险

     4.2C层代码动态调试风险

      4.3动态注入攻击风险

      4.4模拟器运行风险

      4.5启动隐藏服务风险

      4.6Root设备运行风险

5,内容风险

     5.1自定义词汇

     5.2敏感文本

     5.3敏感图片

这种类型的风险存在于发布文章类或信息类应用,“涉黄”,“赌博”等词汇与图片需要进行敏感内容识别或过滤。为了节约成本,可以人工审核信息来完成,当然,这样工作量太大,要是有Money的话可以介入专业的

检测公司API,来让应用的内容安全做的更严密些。

二,在自己没钱的情况下,看我们能做哪些事吧

1,打包应用,基本要加的就是混淆了,当然,我们还要再创建一个签名文件

2,要是我们应用体积大了,还可以再压缩一下资源文件,我用 的是 AndResGuard

3,没钱,没办法啊,那就来个免费的加固服务吧。

做到这些,是不是大家都觉得,我也是这样做的。是的,一般我们程序都会做这些基本的操作,但是我们还可以再做些什么?

情况1,应用被反编译后二次打包了----apk在正式打包后生成hash签名保存在服务端。应用每次启动后校验当前应用hash与服务端保存的是不是一致,以此来校验应用是不是合法的。嘿嘿,是不是解决问题的一种方法了

上代码:

/**
 * 根据apk MD5摘要获取对应的哈希值
 *
 * @param context
 * @return
 */
public static String getApkHashValue(Context context) {
    String apkPath = context.getPackageCodePath(); // 获取Apk包存储路径
    try {
        MessageDigest dexDigest = MessageDigest.getInstance("MD5");
        byte[] bytes = new byte[1024];
        int byteCount;
        FileInputStream fis = new FileInputStream(new File(apkPath)); // 读取apk文件
        while ((byteCount = fis.read(bytes)) != -1) {
            dexDigest.update(bytes, 0, byteCount);
        }
       /* BigInteger bigInteger = new BigInteger(1, dexDigest.digest()); // 计算apk文件的哈希值
        String sha = bigInteger.toString(16);*/
        //解决MD5在特殊情况下丢失0的情况
        StringBuffer buf = new StringBuffer();
        byte[] b = dexDigest.digest();
        int i;
        for (int offset = 0; offset < b.length; offset++) {
            i = b[offset];
            if (i < 0) {
                i += 256;
            }
            if (i < 16) {
                buf.append("0");
            }
            buf.append(Integer.toHexString(i));
        }
        fis.close();
        return buf.toString();
    } catch (NoSuchAlgorithmException e) {
        e.printStackTrace();
        return "";
    } catch (FileNotFoundException e) {
        e.printStackTrace();
        return "";
    } catch (IOException e) {
        e.printStackTrace();
        return "";
    }
}

情况2;很多时候apk被反编译或被破坏,多通过模拟器或者获取root权限来操作

没办法,只能给模拟器说再见了。正式发布程序后,代码检测运行设备是否是模拟器,如果是的话,就不让运行了,root 设备一样的验证逻辑,简单粗暴!!!

但是root或模拟器检测并没有官方的或权威的检测代码,谁让android品牌太多太杂了捏,没办法。真遇到这种兼容性问题的话,没事,我们可以再做检查逻辑时,留一手服务端验证,

由服务端来控制这个版本或者某个用户走不走这部分验证逻辑额~~~~~,后边的可以自行发挥解决。

情况3,动态调试,内存读取......

和情况2思路一致,均是通过代码来检测是否有调试等工具在调试程序,然后做出相应的判断处理

其他情况都比较常见了,随便百度就能找到解决方法,这里就不啰嗦了。嘿嘿

最后,要是你们公司很有钱,那就不考虑那么多了,来个专业机构加密,一下风险就降到最低,只要有money~

 

没有绝对的安全,我们能做的就是把安全风险降到最低,欧力给!

热门文章

暂无图片
编程学习 ·

exe4j详细使用教程(附下载安装链接)

一、exe4j介绍 ​ exe4j是一个帮助你集成Java应用程序到Windows操作环境的java可执行文件生成工具&#xff0c;无论这些应用是用于服务器&#xff0c;还是图形用户界面&#xff08;GUI&#xff09;或命令行的应用程序。如果你想在任务管理器中及Windows XP分组的用户友好任务栏…
暂无图片
编程学习 ·

AUTOSAR从入门到精通100讲(126)-浅谈车载充电系统通信方案

01 引言 本文深入研究车载充电系统策略,设计出一套基于电动汽车电池管理系统与车载充电机的CAN通信协议,可供电动汽车设计人员参考借鉴。 02 电动汽车充电系统通讯网络 电动汽车整车控制系统中采用的是CAN总线通信方式,由一个整车内部高速CAN网络、内部低速CAN网络和一个充电…
暂无图片
编程学习 ·

CMake(九):生成器表达式

当运行CMake时&#xff0c;开发人员倾向于认为它是一个简单的步骤&#xff0c;需要读取项目的CMakeLists.txt文件&#xff0c;并生成相关的特定于生成器的项目文件集(例如Visual Studio解决方案和项目文件&#xff0c;Xcode项目&#xff0c;Unix Makefiles或Ninja输入文件)。然…
暂无图片
编程学习 ·

47.第十章 网络协议和管理配置 -- 网络配置(八)

4.3.3 route 命令 路由表管理命令 路由表主要构成: Destination: 目标网络ID,表示可以到达的目标网络ID,0.0.0.0/0 表示所有未知网络,又称为默认路由,优先级最低Genmask:目标网络对应的netmaskIface: 到达对应网络,应该从当前主机哪个网卡发送出来Gateway: 到达非直连的网络,…
暂无图片
编程学习 ·

元宇宙技术基础

请看图&#xff1a; 1、通过AR、VR等交互技术提升游戏的沉浸感 回顾游戏的发展历程&#xff0c;沉浸感的提升一直是技术突破的主要方向。从《愤怒的小鸟》到CSGO,游戏建模方式从2D到3D的提升使游戏中的物体呈现立体感。玩家在游戏中可以只有切换视角&#xff0c;进而提升沉浸…
暂无图片
编程学习 ·

flink的伪分布式搭建

一 flink的伪分布式搭建 1.1 执行架构图 1.Flink程序需要提交给 Job Client2.Job Client将作业提交给 Job Manager3.Job Manager负责协调资源分配和作业执行。 资源分配完成后&#xff0c;任务将提交给相应的 Task Manage。4.Task Manager启动一个线程以开始执行。Task Manage…
暂无图片
编程学习 ·

十进制正整数与二进制字符串的转换(C++)

Function one&#xff1a; //十进制数字转成二进制字符串 string Binary(int x) {string s "";while(x){if(x % 2 0) s 0 s;else s 1 s;x / 2;}return s; } Function two&#xff1a; //二进制字符串变为十进制数字 int Decimal(string s) {int num 0, …
暂无图片
编程学习 ·

[含lw+源码等]微信小程序校园辩论管理平台+后台管理系统[包运行成功]Java毕业设计计算机毕设

项目功能简介: 《微信小程序校园辩论管理平台后台管理系统》该项目含有源码、论文等资料、配套开发软件、软件安装教程、项目发布教程等 本系统包含微信小程序做的辩论管理前台和Java做的后台管理系统&#xff1a; 微信小程序——辩论管理前台涉及技术&#xff1a;WXML 和 WXS…
暂无图片
编程学习 ·

树莓派驱动DHT11温湿度传感器

1&#xff0c;直接使用python库 代码如下 import RPi.GPIO as GPIO import dht11 import time import datetimeGPIO.setwarnings(True) GPIO.setmode(GPIO.BCM)instance dht11.DHT11(pin14)try:while True:result instance.read()if result.is_valid():print(ok)print(&quo…
暂无图片
编程学习 ·

ELK简介

ELK简介 ELK是三个开源软件的缩写&#xff0c;Elasticsearch、Logstash、Kibana。它们都是开源软件。不过现在还新增了一个 Beats&#xff0c;它是一个轻量级的日志收集处理工具(Agent)&#xff0c;Beats 占用资源少&#xff0c;适合于在各个服务器上搜集日志后传输给 Logstas…
暂无图片
编程学习 ·

Linux 基础

通常大数据框架都部署在 Linux 服务器上&#xff0c;所以需要具备一定的 Linux 知识。Linux 书籍当中比较著名的是 《鸟哥私房菜》系列&#xff0c;这个系列很全面也很经典。但如果你希望能够快速地入门&#xff0c;这里推荐《Linux 就该这么学》&#xff0c;其网站上有免费的电…
暂无图片
编程学习 ·

Windows2022 无线网卡装不上驱动

想来 Windows2022 和 windows10/11 的驱动应该差不多通用的&#xff0c;但是死活装不上呢&#xff1f; 搜一下&#xff0c;有人提到 “默认安装时‘无线LAN服务’是关闭的&#xff0c;如果需要开启&#xff0c;只需要在“添加角色和功能”中&#xff0c;选择开启“无线LAN服务…
暂无图片
编程学习 ·

【嵌入式面试宝典】版本控制工具Git常用命令总结

目录 创建仓库 查看信息 版本回退 版本检出 远程库 Git 创建仓库 git initgit add <file> 可反复多次使用&#xff0c;添加多个文件git commit -m <message> 查看信息 git status 仓库当前的状态git diff 差异对比git log 历史记录&#xff0c;提交日志--pret…
暂无图片
编程学习 ·

用Postman生成测试报告

newman newman是一款基于nodejs开发的可以运行postman脚本的工具&#xff0c;使用Newman&#xff0c;可以直接从命令运行和测试postman集合。 安装nodejs 下载地址&#xff1a;https://nodejs.org/en/download/ 选择自己系统相对应的版本内容进行下载&#xff0c;然后傻瓜式安…
暂无图片
编程学习 ·

Java面向对象之多态、向上转型和向下转型

文章目录前言一、多态二、引用类型之间的转换Ⅰ.向上转型Ⅱ.向下转型总结前言 今天继续Java面向对象的学习&#xff0c;学习面向对象的第三大特征&#xff1a;多态&#xff0c;了解多态的意义&#xff0c;以及两种引用类型之间的转换&#xff1a;向上转型、向下转型。  希望能…