赞
踩
对于个人开发者或者某些小企业开发者而言,APP安全的始终是一件让人非常头疼的事情。下面我们从安全开发角度出发,进行梳理了一个APP需要关注的APP安全的问题。
在开发APP过程中,不安全的代码编写方式和没有周全考虑到相应的安全性,从而给开发的APP带来一定的安全风险,那么应用安全这个最重要的安全需要关注哪些方面?
环境检测主要关注点: 模拟器检测、root检测。
目前主流的模拟器:夜神模拟器、雷电模拟器、逍遥模拟器、mumu模拟器、腾讯手游模拟器。
对模拟器实现原理:一种基于Qemu,一种基于Genymotion(VirtualBox)
模拟器的检测主要方式:模拟器的特有文件、模块、特征,代理类等等。
目前调试工具: jeb、IDA、GDB等调试工具进行调试分析代码和数据。
反调试方式(检测规则一小部分):
检测/proc/%d/status和/proc/pid/stat 和 /proc/pid/task/pid/stat状态值。
直接将访问的网址或访问的IP地址硬编码写到代码中,那么攻击者可以通过反编译app进行静态分析(jeb,jadx,IDA),搜索URL或IP相关的信息,那么这些URL或IP信息就会成为攻击者的一个利用目标。
在APP的代码或配置文件中,存储着敏感而且没有进行做加密保护的数据。
攻击者攻击方式有两种:
APP开发者如果没有对开发的APP进行做完整性校验的话,那么攻击者用androidkiller工具进行对APP功能的逆向修改,例如对app植入恶意代码,木马、广告等等,那么这些修改APP后,并进行重新签名发布,这会导致包的完整性被破坏,那么如果有包完整性校验,校验包被破坏了就进行检验并做对应闪退效果。
APP中使用的数字证书可被用来校验服务器的合法身份,以及在于服务器进行做通信的过程中对传输数据进行加解密的运算,保证传输数据的保密性,完整性。
明文存储的数字证书如果被篡改,APP客户端可能会连接到攻击者的服务器上,导致APP的敏感信息被盗取。如果明文证书被盗取,可能会造成传输数据被拦截解密,伪造第三方的APP客户端向服务器进行发送请求,篡改服务器中的关键数据或者造成服务器响应异常。
总之面对潜力巨大的移动互联网市场,企业定制开发APP不仅是企业发展的必然趋势,也是面对市场竞争的正确选择。而快速应用开发网业内十年开发,经验丰富、技术强劲,是您定制开发APP道路上的忠实助力者。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。