当前位置：首页 > article >正文

常规APP在客户端层面潜在应用安全问题探讨

article 2024/11/17 13:40:30

站在安全的角度上对应用安全提出几点小疑问,以防止产品后期调整造成不必要的麻烦.所以总结一些常见的检测方案,过滤一些风险用户

没有绝对的安全, 安全都是相对的.
道高一尺魔高一丈, 逆向永远胜利!

对服务器压力造成压力,影响用户体验.

解决方案:

简单的做一下抓包检测
1. OKHTTP开启证书校验功能
  1. https://ch3nye.top/Android-HTTPS%E8%AE%A4%E8%AF%81%E7%9A%84N%E7%A7%8D%E6%96%B9%E5%BC%8F%E5%92%8C%E5%AF%B9%E6%8A%97%E6%96%B9%E6%B3%95%E6%80%BB%E7%BB%93/(SSLPING)
2. 检测客户端是否使用VPN功能
  1. https://www.biaodianfu.com/android-ios-proxy-vpn.html
3. 检测客户端是否设置了系统代理
  1. https://www.biaodianfu.com/android-ios-proxy-vpn.html
接口验签功能
1. 对接口的参数进行验签功能(sign参数)
2. 如果开发团队有NDK开发经验,建议写到native层上,可以过滤新手.
  1. https://developer.aliyun.com/article/1169355 NDK使用MD5算法
  2. https://blog.csdn.net/afei__/article/details/81031965 JNI动态注册

市场上出现大量的VIP破解版,VIP内购版,去广告绿色版. 应该尽可能的避免这类可能的出现

解决方案:

APK签名校验,如果团队有能力,建议放在native层
1. https://www.jianshu.com/p/50f2a8db2ab0
2. https://stackoverflow.com/questions/15025304/check-apk-signature-in-c-native-code
对release版的应用做混淆
1. https://github.com/CodingGay/BlackObfuscator
使用第三方的加固厂商保护服务(加壳)
1. 360
2. 腾讯
3. 爱加密
4. 梆梆
关键功能,核心功能应该由服务器下发接口,所有关键接口做VIP校验,本地APP只是个数据展示. 从根源上避免内购的可能

竞品应用不具备相关能力, 会选择开通VIP或者注册大量帐号来调用我们的客户端接口以服务他们的产品使用

解决方案:

如果推广方案使用存在地推,或者有推广奖励的情况下,那避免不了存在机刷的可能, 如何尽可能的避免机刷(恶意用户)的存在

解决方案:
https://github.com/lamster2018/EasyProtector

ROOT检测一般的真实用户机器都是不具备ROOT权限的,把ROOT用户视为恶意用户即可
1. https://8ksec.io/advanced-root-detection-bypass-techniques/
Xposed检测, 遍历APP列表,检测是否存在xposed manager, 通过反射loadClass de.robv.android.xposed.XposedHelpers
1. https://github.com/CrackerCat/RiskEnvDetection
2. https://github.com/w568w/XposedChecker
frida检测, 检测端口27042
1. https://mp.weixin.qq.com/s/RzdyDWRZ4un2_mC4Om8XZg
Android模拟器特征检测
1. https://github.com/reveny/Android-Emulator-Detection