Android开发规范：App安全规范_安卓厂商apk规范

我的新书《Android App开发入门与实战》已于2020年8月由人民邮电出版社出版，欢迎购买。点击进入详情

加壳

加壳也就是加固，或者叫做加密，app打包成apk后，通过加壳技术给app上了一层保护，用来预防app被破解、反编译、二次打包等。

免费的加固应用有乐固、阿里聚安全、360加固宝等；

收费的有梆梆、爱加密、以及一些免费加固应用的收费版本。

以下是相关机构发布的安全报告：

65%的移动APP至少存在1个高危漏洞，平均每1个APP就有7.32个漏洞； 88%的金融类APP存在内存敏感数据泄露问题；
每10个娱乐类APP就有9个至少包含一个高危漏洞； ——《FreeBuf：2017年度移动App安全漏洞与数据泄露现状报告》

所以加壳是重中之重，没了壳等于裸奔。建议如果有条件的话还是选择收费版本的加壳软件，毕竟加密的强度会高些，而且还有合同保障。

组件外露

android四大组件Activity、Service、ContentProvider、Broadcast Receiver，有一个android:exported属性。如果是false，那么只能在同一个应用程序组件间或带有相同用户ID的应用程序间才能启动或绑定该服务；如果是true，这该组件可以被任意应用启动或执行，这样就会有组件被恶意调用的风险。

<activity
     android:name="com.androidwind.safe.DemoActivity"
     android:exported="false"
     android:label="@string/app_name" >
</activity>
1
2
3
4
5

如果组件没有包含过滤器intent-filter，那么android:exported属性的值默认是false；如果组件包含了至少一个intent-filter，那么android:exported属性的值默认就是true。

如果必须暴露这些组件，那么需要添加自定义的permission权限来进行访问控制。

<activity
     android:name="com.androidwind.safe.DemoActivity"
     android:exported="true"
     android:label="@string/app_name" 
     android:permission="com.androidwind.permission.demoPermission" >
</activity>
1
2
3
4
5
6

外部应用如果想直接打开DemoActivity，需要在AndroidManifest.xml配置：

<uses-permission android:name="com.androidwind.permission.demoPermission" />
1

webview

由于WebView在低系统版本中存在远程代码执行漏洞，如JavascriptInterface，中间人可以利用此漏洞执行任意代码。
所以app的targetSdkVersion需要大于17，也就是Android版本至少要4.2。

另外需要注意将wenview自动保存密码功能关闭：

webView.getSettings().setSavePassword(false);
1

logcat日志

有的时候为了方便跟踪用户操作反馈，app端往往会把日志保存在sd卡上，然后在适当的机会将用户日志上传到服务器，然后开发人员可以查看用户日志信息，分析相关的问题。

但是这样做有个很大的风险就是日志里面往往包含了app的一些敏感信息，比如url地址、参数、还有类名，以及用户的使用记录，包括名称、id、聊天记录等等。

虽然app可以做一些操作来减少风险，比如定期删除日志等，但是毕竟这些信息还是外露了，可能被别有用心的人利用。

所以我们对日志输出的要求是：

1. 不存储在外部，比如手机存储空间；
2. 测试环境可以在logcat输出日志信息；
3. 正式环境屏蔽所有日志输出。包括logcat和手机外部存储；
4. 不使用System.out输出日志；

另外，项目中日志输出需要统一使用同一个日志管理类，不应该存在多个输出日志的类。

网络请求

所有网络请求必须使用https。而且在Android P系统中，默认使用加密连接，所有未加密的连接会受限：

Google表示，为保证用户数据和设备的安全，针对下一代 Android 系统(Android P)
的应用程序，将要求默认使用加密连接，这意味着 Android P 将禁止 App 使用所有未加密的连接，因此运行 Android P
系统的安卓设备无论是接收或者发送流量，未来都不能明码传输，需要使用下一代(Transport Layer
Security)传输层安全协议，而 Android Nougat 和 Oreo 则不受影响。

如果使用http连接，那么会返回如下错误信息：

//http在使用HttpUrlConnection时遇到的异常 W/System.err: java.io.IOException:
Cleartext HTTP traffic to **** not permitted //http在使用OkHttp时遇到的异常
java.net.UnknownServiceException: CLEARTEXT communication ** not
permitted by network security policy

api接口

参考：Android解决方案之：API接口安全设计规范

so文件

通常简单的做法是将密钥等敏感信息保存在Java代码中，比如直接写在静态变量里。但是这样很容易被编译破解，即使代码有混淆。

我们考虑可以将一些敏感信息，比如密码、密钥等，通过cpp代码，保存在so文件中。这样会增加敏感信息被破解的难度。

需要说明的是，如果使用so文件，那么so文件也需要加壳。

github上有一个可以自动生成加密so库的插件cipher.so，这样通过在gradle里配置需要加密的数据，即可加密保存到so库，并且自动生成对应的Java接口。

cipher.so {
    keys {
        数据库 {
            value = '你好数据库!,?'
        }
        hello {
            value = 'Hello From Cipher.so?'
        }
    }
//    signature = '1708229056'
    encryptSeed = 'HelloSe1cretKey'
}
1
2
3
4
5
6
7
8
9
10
11
12