摘要：朱星星表示面對破解者的動(dòng)態(tài)調(diào)試，我們可以采取對進(jìn)行加固的方案，防止被動(dòng)態(tài)調(diào)試。事實(shí)上，不管有無其他問題，檢測方如果檢測到里有明文存儲(chǔ)，則一定會(huì)被打回來，朱星星在解釋該問題重要性時(shí)告誡開發(fā)者，在開發(fā)階段一定要注意文件是否存在明文存儲(chǔ)的問題。

歡迎訪問網(wǎng)易云社區(qū)，了解更多網(wǎng)易技術(shù)產(chǎn)品運(yùn)營經(jīng)驗(yàn)。

因?yàn)楣ば挪繉σ苿?dòng)App應(yīng)用安全過檢要求日益增多，不加固大都達(dá)不到工信部的要求，同時(shí)開發(fā)者加固App大都是為了防止以下10個(gè)檢測項(xiàng)出現(xiàn)問題，影響App上架。

1.程序代碼安全

“很多人可能認(rèn)為這一項(xiàng)技術(shù)含量并不大，其實(shí)這項(xiàng)在App上線時(shí)，檢測方是有一些要求的”，網(wǎng)易資深安全開發(fā)工程師朱星星認(rèn)為，在App上線時(shí)，開發(fā)者最好準(zhǔn)備相關(guān)的《法律聲明及隱私政策》、申請用戶權(quán)限的調(diào)用系統(tǒng)說明，以及標(biāo)注使用怎么樣的SDK收集用戶數(shù)據(jù)及收集用戶數(shù)據(jù)的用途，這些都是硬性要求。

2.程序代碼防護(hù)

程序代碼防護(hù)是檢測方判斷代碼保護(hù)基本強(qiáng)度的項(xiàng)目之一，這也是判斷App開發(fā)者是否有安全開發(fā)意識(shí)的標(biāo)準(zhǔn)之一。業(yè)界最常見的程序代碼防護(hù)有以下幾種——客戶端App采用代碼混淆技術(shù)，增加能夠防止第三方逆向工具進(jìn)行逆向反編譯，使用加固、防篡改機(jī)制、防二次打包等技術(shù)。

3.密碼與安全策略

這一問題在金融類App非常常見，開發(fā)者往往需要考慮的是用戶在輸入賬號密碼時(shí)會(huì)不會(huì)被第三方記錄截屏。“我們在幫助客戶解決這一個(gè)問題時(shí)，建議客戶一定要有一個(gè)防鍵盤記錄SDK，這樣用戶每次打開鍵盤字幕排序是不一樣的，App也能更安全更容易過檢”，朱星星說。

4.權(quán)限與界面安全

在移動(dòng)互聯(lián)網(wǎng)時(shí)代，黑客的攻擊方式越來越多樣化，偽造用戶登錄頁面竊取用戶信息就是其中一種。在App過檢測試時(shí)，檢測方會(huì)有提供同樣的虛假的登錄頁面來檢測App是否有防范意識(shí)，這就需要開發(fā)者適當(dāng)?shù)脑贏pp中給用戶一些警示信息，提示登錄或關(guān)鍵界面已被覆蓋的警示信息。

5.動(dòng)態(tài)調(diào)試

動(dòng)態(tài)調(diào)試技術(shù)在軟件逆向工程領(lǐng)域也是一個(gè)很熱門的概念，它是指破解者利用調(diào)試器跟蹤軟件的運(yùn)行，尋求破解的途徑。朱星星表示：“面對破解者的動(dòng)態(tài)調(diào)試，我們可以采取對App進(jìn)行加固的方案，防止App被動(dòng)態(tài)調(diào)試”。

6.SO注入

SO注入也是比較常見的黑客入侵手段，在安卓App過檢中是必測項(xiàng)。據(jù)朱星星介紹，一般來說有三個(gè)方案可以解決這一問題——修改linker中的dlopen函數(shù)，防止第三方SO加載；定時(shí)檢測應(yīng)用加載的第三方so庫，如果發(fā)現(xiàn)是被注入的SO，則卸載加載的SO；對被測系統(tǒng)進(jìn)行加固，防止被測系統(tǒng)被動(dòng)態(tài)注入第三方SO。

7.內(nèi)存數(shù)據(jù)保護(hù)

如何保護(hù)自己的程序不被其他程序讀取或改寫內(nèi)存一直是技術(shù)開發(fā)者們需要解決的重要問題。在朱星星的分享中，他提到防內(nèi)存被第三方程序讀寫。“我們監(jiān)控/proc/pid/mem、/proc/tid/mem等文件的讀寫操作，當(dāng)這些文件被第三方程序訪問時(shí)，觸發(fā)設(shè)置的回調(diào)函數(shù)，并配合防注入、防調(diào)試等方法，最終實(shí)現(xiàn)防內(nèi)存修改?！?/p>

8.隱私與儲(chǔ)存數(shù)據(jù)

技術(shù)開發(fā)者的代碼文檔如果使用明文存儲(chǔ)，很容易出問題。“事實(shí)上，不管App有無其他問題，檢測方如果檢測到App里有明文存儲(chǔ)，則一定會(huì)被打回來”，朱星星在解釋該問題重要性時(shí)告誡開發(fā)者，在開發(fā)階段一定要注意xml、db文件是否存在明文存儲(chǔ)的問題。

9.日志信息泄露

在移動(dòng)App的開發(fā)過程中，日志信息的安全是非常值得關(guān)注的問題。日志信息泄露，主要是防止打印的log容易被破解者作為分析的切入點(diǎn)，分析到App的執(zhí)行邏輯等。除了靜態(tài)代碼不能出現(xiàn)log的調(diào)用之外，動(dòng)態(tài)運(yùn)行時(shí)也不能輸出日志信息。

10.通信與數(shù)據(jù)安全

在全球新一輪新技術(shù)革命的沖擊下，用戶的生活方式越來越依賴于線上應(yīng)用，以致于通信數(shù)據(jù)正呈爆發(fā)式的增長。但令人擔(dān)憂的是，線上數(shù)據(jù)的大量聚集增加了數(shù)據(jù)泄密的可能，導(dǎo)致信息安全面臨威脅。為解決這一威脅，朱星星建議的做法是對敏感數(shù)據(jù)進(jìn)行加密傳輸，增加加密信道的安全性檢測（包含中間人攻擊檢測等）HTTPS 通信協(xié)議等。

更多詳情請見：《網(wǎng)易云易盾朱星星：最容易被駁回的10大APP過檢項(xiàng)》

網(wǎng)易云易盾提供Android 應(yīng)用加固解決方案，感興趣的朋友可以點(diǎn)擊這里免費(fèi)試用。

IOS應(yīng)用加固免費(fèi)試用可點(diǎn)擊這里。

文章來源： 網(wǎng)易云社區(qū)