Android app security安全问题总结

数据泄漏

本地文件敏感数据不能明文保存，不能伪加密（Base64，自定义算法等）
android:allowbackup=false. 防止 adb backup 导出数据
Activity intent 的数据泄漏。比如通过 getRecentTask 然后找到对应的intent 拿到数据。
Broadcast Intent，自己应用内使用 LocaBroadcast，避免被别的应用收到，或者 setPackage做限制。
ClipBorad 数据泄漏。
WebView settings setSavePassword(false) 这个会明文保存密码。
Log 要关闭，防止重要数据泄漏。使用boolean常量开关 或者 proguard 直接优化。
键盘事件的读取预防，/dev/input/event 可以读取到按键和触屏。键盘建议随机布局自定义。
对于截屏 android5.0以及以后 window.setFlag(LayoutParam.FLAG_SECURE) 禁止录屏。

客户端暴露的攻击面

使用外部数据不进行校验，比如app升级，插件安装等，需要对这些数据进行合法性校验。
zip解压目录覆盖风险。zip中允许 ../../file 这样的路径。如果一旦解压到当前目录，有可能覆盖上级目录的文件。
Android components 不当暴露，不需要export的需要 exported = false。
本地端口开放问题，socket server。尽量不要开放此接口。如果要的话，也只是bind到 127.0.0.1，不要暴露给局域网，避免局域网内恶意代码扫描端口。另外 app 可以通过 读取proc 通过 端口查看是哪个app连接该端口。（收selinux限制）。另外就是使用此方法不要实现一些特别敏感的功能。
开放组件的 dos攻击。开放的 activity service receiver等需要对传入的intent做合法性校验，以及相关的类型转换保护。防止恶意代码攻击。
PendingIntent，不要给第三方app发送PendingIntent。避免数据被修改。

界面的劫持

恶意悬浮框，在我们的app上边覆盖一个悬浮框，误导用户点击不合理的按键。这时候需要设置setFilterTouchesWhenObscured 为 false，被别的窗口覆盖的话，不接受按键。
钓鱼窗口，当用户打开我们的界面时，恶意程序也打开一个类似的钓鱼界面。我们需要在关键的界面 onPause的时候 做必要的检查，比如看看栈顶是不是自己的界面。（5.0以后受限制？）
ContentProvider sql 注入。参数中包含恶意sql;– 。最简单的是做 sql参数校验。
ContentProvider openFile 便利目录风险。

Webview远程方法调用漏洞

4.2以下手机 addJavaScriptInterface 会导致漏洞。js通过 getClass 后获取java 类，然后调用相关函数。系统自己带一个 searchbox_xxx 需要自己移出掉。

不安全的网络通信

中间人攻击。
敏感数据不要明文传输。
恶意wifi可以通过 kali linux 很简单的创建。在商场进行钓鱼。
加密算法
RC4 已经过时，不推荐使用。
SHA256 最好，不推荐md5 sha1
RSA 要 2048 bit，要 padding。
对称加密密钥不要放在代码中。可以协商后保存在本地加密存储。
AES 不要使用 ECB 模式，初始化向量不要使用固定的常量。
SecureRandome 不要使用setSeed()，使用也不要传入固定值

https 中间人攻击
cookie 要设置为 secure（secure flag），否则该cookie会在 http会话中传输。
不要使用 SSLv3以及更低版本
在程序中不要自己处理证书相关的校验。

SSL证书校验
webview onReceivedSslError后 不要自己做什么处理。
android 系统中有时候某些手机证书不全，但是也不能忽略该证书错误。
不要覆盖 Trustmanager. checkServerTrusted 不要重写。
HostNameVerifier 不要重写。不要不校验 hostname。

如何处理呢？
通过TrustManagerFactory 导入证书。
证书绑定。就是我只认这个证书。自己做 veriry。成本最低。证书可以是自签名的。 # 二进制攻击 #

各种黑产QQ群论坛等，看雪论坛。
重新打包，插入恶意代码
逆向分析
运行时debug，修改数据等

工具
apktool，dex2jar, JEB
IDA pro （查看 so 代码，F5 汇编转c代码）
xposed，Cydia substrate 注入框架

防护
理论上没有100%有效的地域二进制攻击的方法。
但是为啥还要这么做呢？提高门槛，提高成本，提高他的利益成本（有这时间他可以去找些软柿子赚钱去）
proguard做混淆

安全性校验
检查apk有没有被修改
检查签名（不靠谱，此处代码可以被修改）。但是有比没有强。黑产都是些批量自动化的，可以防止一些。
增加难度
放在 native代码中
多点检查
检查的代码不要放在退出点，放在比较隐蔽的地方。然后后边别的地方再退出程序。
和网络请求结合，传参数到server，server返回不合法数据等。

反调试，反注入
debuggable = false
Debug.isDebuggerConnected 进行检查。
监控 JDWP 线程（hook socket，进行数据过滤）
多进程ptrace保护。进程只能被ptrace一次。（多个进程间需要pipe通信监控ptrace进程是否退出，监听到，主程序也退出）
检查tracerPid，被trace后为不为0（也可以被绕过）
检查 gdb android_server gdbserver 是否在手机上（可改名）
检查 xposed框架是否在运行。
检查是否被 hook（java，GOT， inline）
检查设备是否被root或者是在 emulator上运行。
检查 jailbreak（iOS）

字符串混淆加密
java native中的字符串都要做混淆。代码放在 native 层。
隐藏native层的函数名， dlsym
obfuscator-llvm 混淆 natived代码。支持 SUB FLA BCF 等几种模式。

其他native保护
so 中检查签名
jni函数名混淆
删除所有不需要 export 的符号。编译选项中设置。
elf tricks，设置一些数据让工具 crash。
so整体加密。加壳。开源的 upx。
特定函数加密。

应用加固
非定制化方案，无混淆，无字符串加密。
hook系统代码，等，有比较大的兼容性问题。
影响启动速度。
无 so 层保护。

自动化扫描工具

360捉虫猎手

app自动检查上报机制

检测到恶意攻击，上报给服务器，可以了解风险面。