Android app security安全问题总结
数据泄漏
- 本地文件敏感数据不能明文保存,不能伪加密(Base64,自定义算法等)
- android:allowbackup=false. 防止 adb backup 导出数据
- Activity intent 的数据泄漏。比如通过 getRecentTask 然后找到对应的intent 拿到数据。
- Broadcast Intent,自己应用内使用 LocaBroadcast,避免被别的应用收到,或者 setPackage做限制。
- ClipBorad 数据泄漏。
- WebView settings setSavePassword(false) 这个会明文保存密码。
- Log 要关闭,防止重要数据泄漏。使用boolean常量开关 或者 proguard 直接优化。
- 键盘事件的读取预防,/dev/input/event 可以读取到按键和触屏。键盘建议随机布局自定义。
- 对于截屏 android5.0以及以后 window.setFlag(LayoutParam.FLAG_SECURE) 禁止录屏。
客户端暴露的攻击面
- 使用外部数据不进行校验,比如app升级,插件安装等,需要对这些数据进行合法性校验。
- zip解压目录覆盖风险。zip中允许 ../../file 这样的路径。如果一旦解压到当前目录,有可能覆盖上级目录的文件。
- Android components 不当暴露,不需要export的需要 exported = false。
- 本地端口开放问题,socket server。尽量不要开放此接口。如果要的话,也只是bind到 127.0.0.1,不要暴露给局域网,避免局域网内恶意代码扫描端口。另外 app 可以通过 读取proc 通过 端口查看是哪个app连接该端口。(收selinux限制)。另外就是使用此方法不要实现一些特别敏感的功能。
- 开放组件的 dos攻击。开放的 activity service receiver等需要对传入的intent做合法性校验,以及相关的类型转换保护。防止恶意代码攻击。
- PendingIntent,不要给第三方app发送PendingIntent。避免数据被修改。
界面的劫持
- 恶意悬浮框,在我们的app上边覆盖一个悬浮框,误导用户点击不合理的按键。这时候需要设置setFilterTouchesWhenObscured 为 false,被别的窗口覆盖的话,不接受按键。
- 钓鱼窗口,当用户打开我们的界面时,恶意程序也打开一个类似的钓鱼界面。我们需要在关键的界面 onPause的时候 做必要的检查,比如看看栈顶是不是自己的界面。(5.0以后受限制?)
- ContentProvider sql 注入。参数中包含恶意sql;– 。最简单的是做 sql参数校验。
- ContentProvider openFile 便利目录风险。
Webview远程方法调用漏洞
- 4.2以下手机 addJavaScriptInterface 会导致漏洞。js通过 getClass 后获取java 类,然后调用相关函数。系统自己带一个 searchbox_xxx 需要自己移出掉。
不安全的网络通信
- 中间人攻击。
- 敏感数据不要明文传输。
- 恶意wifi可以通过 kali linux 很简单的创建。在商场进行钓鱼。
- 加密算法
- RC4 已经过时,不推荐使用。
- SHA256 最好,不推荐md5 sha1
- RSA 要 2048 bit,要 padding。
- 对称加密密钥不要放在代码中。可以协商后保存在本地加密存储。
- AES 不要使用 ECB 模式,初始化向量不要使用固定的常量。
- SecureRandome 不要使用setSeed(),使用也不要传入固定值
- https 中间人攻击
- cookie 要设置为 secure(secure flag),否则该cookie会在 http会话中传输。
- 不要使用 SSLv3以及更低版本
- 在程序中不要自己处理证书相关的校验。
- SSL证书校验
- webview onReceivedSslError后 不要自己做什么处理。
- android 系统中有时候某些手机证书不全,但是也不能忽略该证书错误。
- 不要覆盖 Trustmanager. checkServerTrusted 不要重写。
- HostNameVerifier 不要重写。不要不校验 hostname。
- 如何处理呢?
- 通过TrustManagerFactory 导入证书。
- 证书绑定。就是我只认这个证书。自己做 veriry。成本最低。证书可以是自签名的。 # 二进制攻击 #
- 各种黑产QQ群论坛等,看雪论坛。
- 重新打包,插入恶意代码
- 逆向分析
- 运行时debug,修改数据等
- 工具
- apktool,dex2jar, JEB
- IDA pro (查看 so 代码,F5 汇编转c代码)
- xposed,Cydia substrate 注入框架
- 防护
- 理论上没有100%有效的地域二进制攻击的方法。
- 但是为啥还要这么做呢?提高门槛,提高成本,提高他的利益成本(有这时间他可以去找些软柿子赚钱去)
- proguard做混淆
- 安全性校验
- 检查apk有没有被修改
- 检查签名(不靠谱,此处代码可以被修改)。但是有比没有强。黑产都是些批量自动化的,可以防止一些。
- 增加难度
- 放在 native代码中
- 多点检查
- 检查的代码不要放在退出点,放在比较隐蔽的地方。然后后边别的地方再退出程序。
- 和网络请求结合,传参数到server,server返回不合法数据等。
- 反调试,反注入
- debuggable = false
- Debug.isDebuggerConnected 进行检查。
- 监控 JDWP 线程(hook socket,进行数据过滤)
- 多进程ptrace保护。进程只能被ptrace一次。(多个进程间需要pipe通信监控ptrace进程是否退出,监听到,主程序也退出)
- 检查tracerPid,被trace后为不为0(也可以被绕过)
- 检查 gdb android_server gdbserver 是否在手机上(可改名)
- 检查 xposed框架是否在运行。
- 检查是否被 hook(java,GOT, inline)
- 检查设备是否被root或者是在 emulator上运行。
- 检查 jailbreak(iOS)
- 字符串混淆加密
- java native中的字符串都要做混淆。代码放在 native 层。
- 隐藏native层的函数名, dlsym
- obfuscator-llvm 混淆 natived代码。支持 SUB FLA BCF 等几种模式。
- 其他native保护
- so 中检查签名
- jni函数名混淆
- 删除所有不需要 export 的符号。编译选项中设置。
- elf tricks,设置一些数据让工具 crash。
- so整体加密。加壳。开源的 upx。
- 特定函数加密。
- 应用加固
- 非定制化方案,无混淆,无字符串加密。
- hook系统代码,等,有比较大的兼容性问题。
- 影响启动速度。
- 无 so 层保护。
自动化扫描工具
- 360捉虫猎手
app自动检查上报机制
- 检测到恶意攻击,上报给服务器,可以了解风险面。
Android app security安全问题总结的更多相关文章
- [转]设计一款Android App总结
开发工具的选择 开发工具我将选用Android Studio,它是Google官方指定的Android开发工具,目前是1.2.2稳定版,1.3的预览版也已经发布了.Android Studio的优点就 ...
- 【Android开发】如何设计开发一款Android App
本文从开发工具选择,UI界面.图片模块.网络模块.数据库产品选择.性能.安全性等几个方面讲述了如果开发一个Android应用.现在整理出来分享给广大的Android程序员. 开发工具的选择 开发工具我 ...
- 假设让我又一次设计一款Android App
转载请注明出处: 本文来自aspook的博客:http://blog.csdn.net/ahence/article/details/47154419 开发工具的选择 开发工具我将选用Android ...
- 【转载】Android app 安全测试调研及执行
本文来源于:http://testerhome.com/topics/2209 一.通过在线工具进行测试 1.腾讯金刚审计系统http://service.security.tencent.com 优 ...
- 跨过几个坑,终于完成了我的第一个Xamarin Android App!
时间过得真快,距离上次发随笔又是一年多.作为上次发的我的第一个WP8.1应用总结的后继,这次同样的主要功能,改为实现安卓版APP.前几个月巨硬收购Xamarin,把Xamarin集成到VS里了,大大方 ...
- 【转】can't find referenced method 'android.app.RemoteInput[] getRemoteInputs()' in class android.app.Notification$Action
原文网址:http://stackoverflow.com/questions/25508735/cant-find-referenced-method-android-app-remoteinput ...
- wemall doraemon中Android app商城系统工具集合类,包含各种程序中用到的静态方法
wemall doraemon中Android app商城系统工具集合类,包含各种程序中用到的静态方法,可用于其他商城或者系统的编程参考 package cn.zzu.edu.wemall.utils ...
- android app demo
package jczb.shoping.model; import java.io.Serializable; import android.R.string; //登录所需要的字段信息 publi ...
- Android App 安全的HTTPS 通信
漏洞描述 对于数字证书相关概念.Android 里 https 通信代码就不再复述了,直接讲问题.缺少相应的安全校验很容易导致中间人攻击,而漏洞的形式主要有以下3种: 自定义X509TrustMana ...
随机推荐
- 模块dll和lib
一.dll动态链接库 1.dll 没有 main 函数 2.不能直接执行,可以注入exe中让它间接执行.只有把它编译到应用程序中才可以. 3.编写dll 函数前加上 _declspec(dllexpo ...
- 记React+.NetCore API实现动态列导出
1.效果演示 2.用到的第三方类库 前端:React,Dva,Antd 后端:ASP.NET CORE,System.Linq.Dynamic.Core,EPPlus.Core 3.基本思路 第一:E ...
- python中的进程池
1.进程池的概念 python中,进程池内部会维护一个进程序列.当需要时,程序会去进程池中获取一个进程. 如果进程池序列中没有可供使用的进程,那么程序就会等待,直到进程池中有可用进程为止. 2.进程池 ...
- sap中Excel的模版上传和下载
一:事物码smw0 二:上传步骤 注:"包"为项目的包的名称. 三:下载代码 l_filename = 'XX.xls'. l_muban = 'z123'. *&---下 ...
- c#监测电脑状态
public class DeviceMonitor { static readonly PerformanceCounter cpuCounter = new PerformanceCounter( ...
- Hadoop学习笔记四
一.fsimage,edits和datanode的block在本地文件系统中位置的配置 fsimage:hdfs-site.xml中的dfs.namenode.name.dir 值例如file:// ...
- HDU 4333 Revolving Digits
扩展KMP的应用 我们发现本题的关键在于如何高效的判断两个同构字符串的大小关系,想到如果能够预处理出每一个同构字符串与原字符串的最长公共前缀,那么直接比较它们不一样的部分就好,扩展KMP正好是用来处理 ...
- 小甲鱼OD学习第2讲
这次我们的任务是让我们输入任意用户名密码判断正确 我们输入fishc和111111,显示错误 我们猜测这是用GetDlgItemTextW来收集账号密码的输入值 我们找到了两个函数,给这两个函数都下断 ...
- WPF: WPF 中的 Triggers 和 VisualStateManager
在之前写的这篇文章 WPF: 只读依赖属性的介绍与实践 中,我们介绍了在 WPF 自定义控件中如何添加只读依赖属性,并且使其结合属性触发器 (Trigger) 来实现对控件样式的改变.事实上,关于触发 ...
- MarkDown 编辑数学公式
1. 参考博客:http://blog.csdn.net/smstong/article/details/44340637 1 数学公式的web解决方案 在网页上显示漂亮的数学公式,是多年来数学工作者 ...