常见APP攻击方法 以及防御方法介绍(移动安全)

一、常见APP攻击风险以及防御方法介绍

常见APP攻击方法 以及防御方法介绍(移动安全)_第1张图片

二、APP攻击以及防御方法 案例讲解

1、基于组件攻击 - 应用劫持

用户打开安卓手机上的某一应用,这时,恶意软件侦测到用户的这一动作,如果立即弹出一个与该应用类似的界面,拦截了合法的应用,用户几乎无法察觉,该用户接下输入账号、卡密什么的 其实是在恶意软件上进行的,接下来会发生什么就可想而知了。

常见APP攻击方法 以及防御方法介绍(移动安全)_第2张图片

原理剖析:

1、恶意应用监听了受害者应用的启动操作,然后弹出UI界面覆盖受害者,让用户误以为是目标应用的窗口,进而冒充盗取用户账号密码、卡密等操作

2、另一种情况是此设备系统组件存在漏洞,被恶意应用利用,导致任务堆栈紊乱

防范建议:

1、及时更新android系统,包括系统补丁更新

2、目前,还没有什么专门针对Activity劫持的防护方法,因为,这种攻击是用户层面上的,目前还无法从代码层面上根除。 但是,我们可以适当地在APP中给用户一些警示信息,提示用户其登陆界面以被覆盖,并给出覆盖正常Activity的类名

为了减少误报可以增加对白名单包名、锁屏操作行为、判断当前是否在桌面等来减少误报率

2、基于数据攻击 - 二次打包攻击 广告植入

有数据表明,遭遇二次打包的APP就包括支付宝、微信、美团、京东、淘宝等知名应用。APP二次打包的危害涉及到开发者、用户、市场等许多方面,造成开发者权益受损,知识产权被剽窃;用户财产损失、隐私泄露;应用市场体验变差,令人诟病

常见APP攻击方法 以及防御方法介绍(移动安全)_第3张图片

原理剖析:

1、应用进行签名保护、完整性保护

防范建议:

1、启动时进行签名校验、完整性校验

2、尽可能使用APK加固保护

3、基于设备攻击 - 人机接口爆破锁屏密码

常见APP攻击方法 以及防御方法介绍(移动安全)_第4张图片

原理剖析:

通过模拟输入设备或adb调试可以对设备进行自动点击、输入等,然后利用设备对pin输入无重试次数限制的缺陷进行密码爆破

防范建议:

1、Pin输入错误多次后应限制重试时间

2、Pin输入时应该禁用辅助功能、adb调试等特性,对输入设备也应做安全识别

其他的例子:

常见的就是物理外挂、硬件焊接、各种无线电信号的监听(重放)等,比如 王者荣耀物理外挂、switch游戏机 短解破解、破解 汽车 无钥匙进入(无线电录制和重放攻击)

4、基于设备攻击 - 人机接口爆破锁屏密码

常见APP攻击方法 以及防御方法介绍(移动安全)_第5张图片

原理剖析:

android系统的开放性,决定了其漏洞发现和利用会相较其他闭源系统更加频繁。 如果设备没有及时更新安全补丁,就有可能面临已知的、公开的系统漏洞攻击。

这个视频展示的就是基于“Android Binder驱动的Use-After-Free漏洞攻击”,并成功root Pixel 2设备(EOP)。 android安全补丁时间低于2019-10-01的设备极大可能性存在此漏洞。

防范建议:

1、及时更新Android系统补丁能有效抵御已知系统漏洞攻击

5、基于业务攻击 - 利用设计缺陷,绕过限制

常见APP攻击方法 以及防御方法介绍(移动安全)_第6张图片

生活中有很多撸羊毛的例子,基本都是基于业务设计或实施缺陷、逻辑漏洞进行的

原理剖析:

1、产品设计时没有全面考虑到用户习惯以及 异常情况

2、缺乏对异常情况的监控、识别和判断

防范建议:

1、产品设计除了考虑普通用户习性之外,还应考虑对异常情况的防范、识别、处置

2、当异常长期存在,应有报警和处置手段

6、基于组件攻击 - XPOSED破解某软件收费

常见APP攻击方法 以及防御方法介绍(移动安全)_第7张图片

原理剖析:

1、App未混淆、未加壳,使用逆向工具可以对程序反编译,代码可以高度还原

2、App运行时未进行环境安全检测,相关业务对VIP识别过于简单,使用xposed、frida可以随意修改、调试,进而破解业务收费

防范建议:

1、App需要进行混淆,必要时进行加壳(加固)

2、涉及敏感业务,运行时需要对终端环境进行安全检查 3、业务设计上不要过多依赖设备端安全,尽可能在服务端做业务校验

三、工具分享

1、逆向/反编译  工具

dex文件反编译工具 dexdump、smali.jar/baksmali、dex2jar等

class字节码反编译工具 jd-gui、jd-cmd、jad等

逆向分析工具 IDA Pro、jdb、gdb、class-dump-z、Clutch、introspy、Cycript等

综合逆向工具 APKTool、Xposed、Frida等

协议抓包工具 Wireshark、 fiddler等

2、制作工具

录屏工具https://github.com/MathewSachin/Captura

录屏工具依赖ffmpeg https://github.com/BtbN/FFmpeg-Builds/releases

android设备投屏到电脑 https://github.com/Genymobile/scrcpy/releases

录屏转gif  https://github.com/NickeManarin/ScreenToGif

视频剪辑工具  必剪-让创作更有趣

-------------------

以上实例配有视频,如需要,请打赏后私聊~

你可能感兴趣的:(android安全与逆向,android,逆向,安全,攻击)