移动APP安全风险案例数不胜数,即便很多大厂的App也都中过招,本文梳理了移动APP常见的安全隐患,并提出一些防护策略。
1.移动APP常见的安全隐患有哪些?
Android系统存在很多安全隐患,给企业、开发者和用户都带来了不好的影响。总结常见的安全隐患如下:
代码可逆向:APP可被逆向,轻易获取代码逻辑,进一步导致控制流被hook,防线被破;
功能泄漏:客户端APP高权限行为和功能被其他未授权的应用程序调用访问;
APP可调试:客户端APP能够被调试,动态的提取、修改运行时的程序数据和逻辑
日志信息泄漏:客户端APP将开发调试信息打印泄露,包含敏感参数和执行流程信息;
可二次打包:APP可被修改, 被套壳加入攻击者代码,重新打包发布;
密码学误用:客户端APP代码中使用了不安全的密码学实现,例如固定硬编码的对称加密,ECB模式的对称加密,CBC模式中IV固定等;
敏感信息泄漏:客户端APP代码中泄漏敏感数据,如认证使用的共享密钥、不应被暴露的后台服务器ip地址等;
通信数据明文传输:客户端APP与服务器端交互的数据通过明文的通信信道传输,或者加密传输,但数据依然可以被解密。
2.APP应该采取哪些防护策略?
核心业务与服务端关联;
字符串加解密,代码的明文字符串,需要加密,防止破解者直接搜索到线索;
防重打包,启动校验签名,非原签名则直接挂机,或者无法正常运行核心逻辑;
核心逻辑抽取至Native层实现,增加逆向门槛;
代码混淆,Java、资源、C/C++均可混淆,增加逆向难度。关于如何进行代码混淆,可以点击查看《常见的代码混淆方式》
网易易盾提供业内领先的APP加固技术,加固精度细化至函数级,针对各种各样的破解技术,易盾投入大量的研发精力不断迭代加固技术,全面提升移动APP的安全等级。点击免费试用网易易盾应用加固服务
