加固apk的开发者最常面对的十种问题

欢迎访问网易云社区，了解更多网易技术产品运营经验。

由于工信部对移动App应用安全过检要求日益增多，不加固大都达不到工信部的要求，同时开发者加固App大都是为了防止如下10个检测项出现问题，影响App上架。

1.程序代码安全

“不少人可能认为这一项技术含量并不大，其实这项在App上线时，检测方是有一些要求的”，网易资深安全开发工程师朱星星认为，在App上线时，开发者最好准备相关的《法律声明及隐私政策》、申请用户权限的调用系统说明，以及标注使用怎么样的SDK收集用户数据及收集用户数据的用途，这些都是硬性要求。

2.程序代码防御

程序代码防御是检测方判断代码保护基本强度的项目之一，这也是判断App开发者是否有安全开发意识的标准之一。业界最多见的程序代码防御有如下几种——客户端App采用代码混淆技术，增长可以防止第三方逆向工具进行逆向反编译，使用加固、防篡改机制、防二次打包等技术。

3.密码与安全策略

这一问题在金融类App很是常见，开发者每每须要考虑的是用户在输入帐号密码时会不会被第三方记录截屏。“咱们在帮助客户解决这一个问题时，建议客户必定要有一个防键盘记录SDK，这样用户每次打开键盘字幕排序是不同的，App也能更安全更容易过检”，朱星星说。

4.权限与界面安全

在移动互联网时代，黑客的攻击方式愈来愈多样化，伪造用户登陆页面窃取用户信息就是其中一种。在App过检测试时，检测方会有提供一样的虚假的登陆页面来检测App是否有防范意识，这就须要开发者适当的在App中给用户一些警示信息，提示登陆或关键界面已被覆盖的警示信息。

5.动态调试

动态调试技术在软件逆向工程领域也是一个很热门的概念，它是指破解者利用调试器跟踪软件的运行，寻求破解的途径。朱星星表示：“面对破解者的动态调试，咱们能够采起对App进行加固的方案，防止App被动态调试”。

6.SO注入

SO注入也是比较常见的黑客入侵手段，在安卓App过检中是必测项。据朱星星介绍，通常来讲有三个方案能够解决这一问题——修改linker中的dlopen函数，防止第三方SO加载；定时检测应用加载的第三方so库，若是发现是被注入的SO，则卸载加载的SO；对被测系统进行加固，防止被测系统被动态注入第三方SO。

7.内存数据保护

如何保护本身的程序不被其余程序读取或改写内存一直是技术开发者们须要解决的重要问题。在朱星星的分享中，他提到防内存被第三方程序读写。“咱们监控/proc/pid/mem、/proc/tid/mem等文件的读写操做，当这些文件被第三方程序访问时，触发设置的回调函数，并配合防注入、防调试等方法，最终实现防内存修改。”

8.隐私与储存数据

技术开发者的代码文档若是使用明文存储，很容易出问题。“事实上，无论App有无其余问题，检测方若是检测到App里有明文存储，则必定会被打回来”，朱星星在解释该问题重要性时告诫开发者，在开发阶段必定要注意xml、db文件是否存在明文存储的问题。

9.日志信息泄露

在移动App的开发过程当中，日志信息的安全是很是值得关注的问题。日志信息泄露，主要是防止打印的log容易被破解者做为分析的切入点，分析到App的执行逻辑等。除了静态代码不能出现log的调用以外，动态运行时也不能输出日志信息。

10.通讯与数据安全

在全球新一轮新技术革命的冲击下，用户的生活方式愈来愈依赖于线上应用，以至于通讯数据正呈爆发式的增加。但使人担心的是，线上数据的大量汇集增长了数据泄密的可能，致使信息安全面临威胁。为解决这一威胁，朱星星建议的作法是对敏感数据进行加密传输，增长加密信道的安全性检测（包含中间人攻击检测等）HTTPS 通讯协议等。

更多详情请见：《网易云易盾朱星星：最容易被驳回的10大APP过检项》

网易云易盾提供Android 应用加固解决方案，感兴趣的朋友能够点击这里免费试用。

IOS应用加固免费试用可点击这里。

文章来源： 网易云社区