一文讀懂加固apk的開發者是怎麼想的

有人說加固會明顯拖慢啓動速度，同時形成運行卡頓，嚴重下降用戶體驗，並且加固是徹底能夠脫殼的，只須要pc配合進行斷點調試就能抓到解密後的dex文件，加固並無所說的那麼安全。 可是爲何還有一大批開發者喜歡加固apk呢？

 

由於工信部對移動App應用安全過檢要求日益增多，不加固大都達不到工信部的要求，同時開發者加固App大都是爲了防止如下10個檢測項出現問題，影響App上架。

 

1.程序代碼安全

「不少人可能認爲這一項技術含量並不大，其實這項在App上線時，檢測方是有一些要求的」，網易資深安全開發工程師朱星星認爲，在App上線時，開發者最好準備相關的《法律聲明及隱私政策》、申請用戶權限的調用系統說明，以及標註使用怎麼樣的SDK收集用戶數據及收集用戶數據的用途，這些都是硬性要求。

2.程序代碼防禦

程序代碼防禦是檢測方判斷代碼保護基本強度的項目之一，這也是判斷App開發者是否有安全開發意識的標準之一。業界最多見的程序代碼防禦有如下幾種——客戶端App採用代碼混淆技術，增長可以防止第三方逆向工具進行逆向反編譯，使用加固、防篡改機制、防二次打包等技術。

3.密碼與安全策略

這一問題在金融類App很是常見，開發者每每須要考慮的是用戶在輸入帳號密碼時會不會被第三方記錄截屏。「咱們在幫助客戶解決這一個問題時，建議客戶必定要有一個防鍵盤記錄SDK，這樣用戶每次打開鍵盤字幕排序是不同的，App也能更安全更容易過檢」，朱星星說。

4.權限與界面安全

在移動互聯網時代，黑客的攻擊方式愈來愈多樣化，僞造用戶登陸頁面竊取用戶信息就是其中一種。在App過檢測試時，檢測方會有提供一樣的虛假的登陸頁面來檢測App是否有防範意識，這就須要開發者適當的在App中給用戶一些警示信息，提示登陸或關鍵界面已被覆蓋的警示信息。

5.動態調試

動態調試技術在軟件逆向工程領域也是一個很熱門的概念，它是指破解者利用調試器跟蹤軟件的運行，尋求破解的途徑。朱星星表示：「面對破解者的動態調試，咱們能夠採起對App進行加固的方案，防止App被動態調試」。

6.SO注入

SO注入也是比較常見的黑客入侵手段，在安卓App過檢中是必測項。據朱星星介紹，通常來講有三個方案能夠解決這一問題——修改linker中的dlopen函數，防止第三方SO加載；定時檢測應用加載的第三方so庫，若是發現是被注入的SO，則卸載加載的SO；對被測系統進行加固，防止被測系統被動態注入第三方SO。

7.內存數據保護

如何保護本身的程序不被其餘程序讀取或改寫內存一直是技術開發者們須要解決的重要問題。在朱星星的分享中，他提到防內存被第三方程序讀寫。「咱們監控/proc/pid/mem、/proc/tid/mem等文件的讀寫操做，當這些文件被第三方程序訪問時，觸發設置的回調函數，並配合防注入、防調試等方法，最終實現防內存修改。」

8.隱私與儲存數據

技術開發者的代碼文檔若是使用明文存儲，很容易出問題。「事實上，無論App有無其餘問題，檢測方若是檢測到App裏有明文存儲，則必定會被打回來」，朱星星在解釋該問題重要性時告誡開發者，在開發階段必定要注意xml、db文件是否存在明文存儲的問題。

9.日誌信息泄露

在移動App的開發過程當中，日誌信息的安全是很是值得關注的問題。日誌信息泄露，主要是防止打印的log容易被破解者做爲分析的切入點，分析到App的執行邏輯等。除了靜態代碼不能出現log的調用以外，動態運行時也不能輸出日誌信息。

10.通訊與數據安全

在全球新一輪新技術革命的衝擊下，用戶的生活方式愈來愈依賴於線上應用，以至於通訊數據正呈爆發式的增加。但使人擔心的是，線上數據的大量彙集增長了數據泄密的可能，致使信息安全面臨威脅。爲解決這一威脅，朱星星建議的作法是對敏感數據進行加密傳輸，增長加密信道的安全性檢測（包含中間人攻擊檢測等）HTTPS 通訊協議等。

 

更多詳情請見：《網易雲易盾朱星星：最容易被駁回的10大App過檢項》

相關閱讀：大公司怎麼作Android代碼混淆的？

Android App的破解技術有哪些？如何防止反編譯？

關於網易易盾的加固保護

當前安卓App加固到底該如何作到防篡改?

網易雲易盾提供Android 應用加固解決方案，感興趣的朋友能夠點擊這裏免費試用。

IOS應用加固免費試用可點擊這裏。