加強apk的開發者最常面對的十種問題

歡迎通路網易雲社群，了解更多網易技術産品營運經驗。

因為工信部對移動App應用安全過檢要求日益增多，不加強大都達不到工信部的要求，同時開發者加強App大都是為了防止以下10個檢測項出現問題，影響App上架。

1.程式代碼安全

“很多人可能認為這一項技術含量并不大，其實這項在App上線時，檢測方是有一些要求的”，網易資深安全開發工程師朱星星認為，在App上線時，開發者最好準備相關的《法律聲明及隐私政策》、申請使用者權限的調用系統說明，以及标注使用怎麼樣的SDK收集使用者資料及收集使用者資料的用途，這些都是硬性要求。

2.程式代碼防護

程式代碼防護是檢測方判斷代碼保護基本強度的項目之一，這也是判斷App開發者是否有安全開發意識的标準之一。業界最常見的程式代碼防護有以下幾種——用戶端App采用代碼混淆技術，增加能夠防止第三方逆向工具進行逆向反編譯，使用加強、防篡改機制、防二次打包等技術。

3.密碼與安全政策

這一問題在金融類App非常常見，開發者往往需要考慮的是使用者在輸入賬号密碼時會不會被第三方記錄截屏。“我們在幫助客戶解決這一個問題時，建議客戶一定要有一個防鍵盤記錄SDK，這樣使用者每次打開鍵盤字幕排序是不一樣的，App也能更安全更容易過檢”，朱星星說。

4.權限與界面安全

在移動網際網路時代，黑客的攻擊方式越來越多樣化，僞造使用者登入頁面竊取使用者資訊就是其中一種。在App過檢測試時，檢測方會有提供同樣的虛假的登入頁面來檢測App是否有防範意識，這就需要開發者适當的在App中給使用者一些警示資訊，提示登入或關鍵界面已被覆寫的警示資訊。

5.動态調試

動态調試技術在軟體逆向工程領域也是一個很熱門的概念，它是指破解者利用調試器跟蹤軟體的運作，尋求破解的途徑。朱星星表示：“面對破解者的動态調試，我們可以采取對App進行加強的方案，防止App被動态調試”。

6.SO注入

SO注入也是比較常見的黑客入侵手段，在安卓App過檢中是必測項。據朱星星介紹，一般來說有三個方案可以解決這一問題——修改linker中的dlopen函數，防止第三方SO加載；定時檢測應用加載的第三方so庫，如果發現是被注入的SO，則解除安裝加載的SO；對被測系統進行加強，防止被測系統被動态注入第三方SO。

7.記憶體資料保護

如何保護自己的程式不被其他程式讀取或改寫記憶體一直是技術開發者們需要解決的重要問題。在朱星星的分享中，他提到防記憶體被第三方程式讀寫。“我們監控/proc/pid/mem、/proc/tid/mem等檔案的讀寫操作，當這些檔案被第三方程式通路時，觸發設定的回調函數，并配合防注入、防調試等方法，最終實作防記憶體修改。”

8.隐私與儲存資料

技術開發者的代碼文檔如果使用明文存儲，很容易出問題。“事實上，不管App有無其他問題，檢測方如果檢測到App裡有明文存儲，則一定會被打回來”，朱星星在解釋該問題重要性時告誡開發者，在開發階段一定要注意xml、db檔案是否存在明文存儲的問題。

9.日志資訊洩露

在移動App的開發過程中，日志資訊的安全是非常值得關注的問題。日志資訊洩露，主要是防止列印的log容易被破解者作為分析的切入點，分析到App的執行邏輯等。除了靜态代碼不能出現log的調用之外，動态運作時也不能輸出日志資訊。

10.通信與資料安全

在全球新一輪新技術革命的沖擊下，使用者的生活方式越來越依賴于線上應用，以緻于通信資料正呈爆發式的增長。但令人擔憂的是，線上資料的大量聚集增加了資料洩密的可能，導緻資訊安全面臨威脅。為解決這一威脅，朱星星建議的做法是對敏感資料進行加密傳輸，增加加密信道的安全性檢測（包含中間人攻擊檢測等）HTTPS 通信協定等。

更多詳情請見：《網易雲易盾朱星星：最容易被駁回的10大APP過檢項》

網易雲易盾提供Android 應用加強解決方案，感興趣的朋友可以點選這裡免費試用。

IOS應用加強免費試用可點選這裡。

相關文章：

【推薦】 機器學習、深度學習、和AI算法可以在網絡安全中做什麼？

【推薦】 關于跨團隊合作的一些思考

【推薦】 OC靜态代碼檢查實戰