加壳也就是加固,或者叫做加密,app打包成apk后,通过加壳技术给app上了一层保护,用来预防app被破解、反编译、二次打包等。
免费的加固应用有乐固、阿里聚安全、360加固宝等;
收费的有梆梆、爱加密、以及一些免费加固应用的收费版本。
以下是相关机构发布的安全报告:
65%的移动APP至少存在1个高危漏洞,平均每1个APP就有7.32个漏洞; 88%的金融类APP存在内存敏感数据泄露问题;
每10个娱乐类APP就有9个至少包含一个高危漏洞; ——《FreeBuf:2017年度移动App安全漏洞与数据泄露现状报告》
所以加壳是重中之重,没了壳等于裸奔。
android四大组件Activity、Service、ContentProvider、Broadcast Receiver,有一个android:exported属性。如果是false,那么只能在同一个应用程序组件间或带有相同用户ID的应用程序间才能启动或绑定该服务;如果是true,这该组件可以被任意应用启动或执行,这样就会有组件被恶意调用的风险。
<activity
android:name="com.androidwind.safe.DemoActivity"
android:exported="false"
android:label="@string/app_name" >
</activity>
如果组件没有包含过滤器intent-filter,那么android:exported属性的值默认是false;如果组件包含了至少一个intent-filter,那么android:exported属性的值默认就是true。
如果必须暴露这些组件,那么需要添加自定义的permission权限来进行访问控制。
<activity
android:name="com.androidwind.safe.DemoActivity"
android:exported="true"
android:label="@string/app_name"
android:permission="com.androidwind.permission.demoPermission" >
</activity>
外部应用如果想直接打开DemoActivity,需要在AndroidManifest.xml配置:
<uses-permission android:name="com.androidwind.permission.demoPermission" />
由于WebView在低系统版本中存在远程代码执行漏洞,如JavascriptInterface,中间人可以利用此漏洞执行任意代码。所以app的targetSdkVersion需要大于17,也就是Android版本至少要4.2。
另外需要注意将wenview自动保存密码功能关闭:
webView.getSettings().setSavePassword(false);
有的时候为了方便跟踪用户操作反馈,app端往往会把日志保存在sd卡上,然后在适当的机会将用户日志上传到服务器,然后开发人员可以查看用户日志信息,分析相关的问题。
但是这样做有个很大的风险就是日志里面往往包含了app的一些敏感信息,比如url地址、参数、还有类名,以及用户的使用记录,包括名称、id、聊天记录等等。
虽然app可以做一些操作来减少风险,比如定期删除日志等,但是毕竟这些信息还是外露了,可能被别有用心的人利用。
所以我们对日志输出的要求是:
另外,项目中日志输出需要使用同一个日志管理类,不应该存在多个输出日志的类。
所有网络请求必须使用https。
参考:Android解决方案之:API接口安全设计规范
通常简单的做法是将密钥等敏感信息保存在Java代码中,比如直接写在静态变量里。但是这样很容易被编译破解,即使代码有混淆。
我们考虑可以将一些敏感信息,比如密码、密钥等,通过cpp代码,保存在so文件中。这样会增加敏感信息被破解的难度。
需要说明的是,如果使用so文件,那么so文件也需要加壳。
github上有一个可以自动生成加密so库的插件cipher.so,这样通过在gradle里配置需要加密的数据,即可加密保存到so库,并且自动生成对应的Java接口。
cipher.so {
keys {
数据库 {
value = '你好数据库!,'
}
hello {
value = 'Hello From Cipher.so'
}
}
// signature = '1708229056'
encryptSeed = 'HelloSe1cretKey'
}