APP加固

 随着移动互联网业务的高速发展，手机移动应用呈爆发式的增长，移动端用户量也在不断增加，这时移动安全风险也随之而来，移动应用普遍存在一些高危风险及漏洞，黑客很容易通过一些简单的技术手段实现反编译、二次打包、植入木马病毒或动态注入恶意程序等操作，窃取用户私密信息，甚至导致客户资金损失。或者在开发一些类或服务等组件时，开发者使用了一些默认权限，导致该应用被黑客篡改，产生钓鱼欺骗或SQL 注入等危害。在利益的驱使下，移动应用及移动服务的安全形势越来越严峻，这些风险和威胁不仅损害用户的利益，更对 APP 提供者的数据及平台带来安全隐患。所以移动应用安全加固尤其重要。

 1. 代码安全

 代码安全主要是指 Android 移动应用存在被黑客恶意篡改、二次打包等安全风险。产生移动应用代码安全风险的主要原因是移动应用很容易被反编译、动态调试，例如：DEX 文件被破解、SO 文件被逆向、其他程序或脚本被破解盗用等。

 

 2. 数据存储安全

 由于通讯协议及文件格式均具有标准、开发、公开的特征，因此数据在存储和传输过程中，不仅仅面临信息丢失、信息重复或信息传送自身错误的风险，而且会遭遇欺诈行为或信息攻击，导致最终信息收发的差异性。因此，在信息传输过程中，必须确保信息内容在发送、接收及存储的一致性；并在信息遭受篡改攻击的情况下，提供有效的监测不发现机制，实现通信数据传输的完整性。而数据在传输过程中为抵御黑客采取的各种攻击方式，防止关键数据被窃取，应采用加密措施保证数据的机密性。

 1) 明文存储敏感数据，导致直接被黑客复制或篡改。

• 将隐私数据明文保存在外部存储

• 将系统数据明文保存在外部存储

• 将软件运行时依赖的数据保存在外部存储

• 将软件安装包或者二进制代码保存在外部存储

 2) 不安全的存储登陆凭证，导致黑客可以直接利用此数据窃取网络账户的隐私数据。

 3. 数据传输问题

 传输安全主要是指移动应用程序运行时，对传输的数据进行加密保护，其中关于数据安全可能出现的安全问题主要包括：

 1) 不使用加密传输，导致中间人攻击。

 2) 使用加密传输但忽略证书验证环节。

 3) 如开发者在代码中不检查服务器证书的有效性，或选择接受所有的证书时，这种做法可能会导致通过伪造证书来仿冒真实移动应用传输修改过的数据。

 4. 动态获取程序运行时的敏感数据

 通过对运行时的移动应用注入恶意代码以获取移动应用的敏感数据，造成用户敏感信息的泄漏，给终端用户造成巨大的损失。如个人账户查询、网上支付交易时，获取此用户的用户名、密码、身份证等敏感信息，造成用户敏感信息的泄露。