3.2.1 应用完整性检测
检测目的 检测应用是否进行完整性验证保护。
风险等级 高
威胁描述 应用完整性验证即验证APK中的文件是否被修改或者删除。对于未进行完整性验证的APP,攻击者可以通过反编译工具对APK反编译后,随意修改或删除APK中的资源文件、源码文件、配置文件等,二次打包成其他应用,导致大量盗版应用的出现,损害开发者的利益;还能添加恶意代码,实现应用钓鱼,窃取登录账号密码、支付密码等等。
检测结果 存在风险
结果描述 通过对原始APK中的资源文件进行修改,发现APK仍然可以安装启动,证明该应用没有完整性检测,存在风险。
出现次数 1次
检测详情 操作步骤如下:
1、解压APK文件。2、对APK中的图片文件进行修改。3、重新生成未签名的APK文件。4、对新的APK文件进行签名。5、安装新的APK到手机上。6、监控应用启动状态。该应用可以正常启动,说明该应用不存在完整性校验,存在风险。
解决方案 建议使用专业安全加固方案的完整性校验功能,对APK中的资源文件、源码文件、配置文件等进行保护。
3.2.2 程序签名保护检测
检测目的 检测应用是否进行签名校验保护。
风险等级 高
威胁描述 签名证书是验证APP开发者身份的关键标识,可用于判断APP是否是正版APP,是防止APP被二次打包的重要措施。开发者可利用签名证书有效降低APP的盗版率。未进行签名证书校验的APP,被反编译进行二次打包后,仍可以正常运行。可能导致APP被仿冒盗版,甚至可能被添加钓鱼代码、病毒代码、恶意代码,导致用户敏感信息泄露或者恶意攻击
检测结果 存在风险
结果描述 通过对原始APK文件进行重新签名,发现APK仍然可以安装启动,说明该应用没有签名保护,存在风险。
出现次数 1次
检测详情 操作步骤如下:
1、解压APK文件。2、重新生成未签名的APK文件。3、对新的APK文件进行签名。4、安装新的APK到手机上。5、监控应用启动状态。该应用可以正常启动,说明该应用没有签名保护,存在风险。
解决方案 建议开发者增加签名证书的校验代码;或使用专业安全加固方案,对应用的签名进行验证,降低APK被二次打包的风险。
3.2.3 Java代码加壳程度检测
检测目的 检测应用程序中Java代码是否加壳。
风险等级 高
威胁描述 Java代码加壳即在Java代码外面包裹上另外一段代码,保护里面的Java代码不被非法修改或反编译。Java文件未进行加壳保护,可能面临被反编译的风险。攻击者通过baksmali/apktool/dex2jar等反编译工具得到应用程序的代码,导致代码逻辑泄露、重要数据加密代码逻辑泄露等。
检测结果 存在风险
结果描述 该应用的Java代码没有加壳保护。检测文件总数1个,未加壳文件1个。
出现次数 1次
检测详情 总共检测文件 1 个,存在风险点 1 个。
1.使用静态检测引擎对APK进行反编译。
2.扫描反编译后的代码文件,发现可以获取源代码。
第1处:
文件:
com.alipay.security.util.AshieldActivity.java
解决方案 建议使用专业应用安全加固方案,对APK包中的classes.dex文件进行保护,防止应用被反编译。
3.2.4 C层代码动态调试风险
检测目的 检测应用是否存在C层代码动态调试风险。
风险等级 高
威胁描述 Android C 层代码动态调试漏洞是指在程序运行过程中,恶意程序或者人工可以通过动态调试技术,对程序进行内存调试跟踪,可以窃取目标进程的数据信息,从而获取用户的隐私数据信息。
检测结果 存在风险
结果描述 通过对该应用启动状态下的调试端口进行连接,发现该应用仍然处于运行状态,说明该应用存在C层代码动态调试风险。
出现次数 1次
检测详情 操作步骤如下:
1、安装APK文件到手机上并启动。2、获取应用的调试端口号。3、使用adb将调试端口号映射到计算机。4、使用调试工具连接映射到计算机上的调试端口,对端口进行调试。5、监控应用启动状态。该应用任然在正常运行,说明该应用可以被调试,存在风险。
解决方案 建议使用专业安全加固方案的防动态调试功能,防止应用被动态调试。
3.2.5 动态注入攻击风险
检测目的 检测应用是否存在动态注入攻击风险。
风险等级 高
威胁描述 Android动态代码注入是不修改源程序只修改目标进程的寄存器、内存值等就能控制程序实现既定目标的一种方法。通过动态注入,攻击者可以劫持目标进程函数、窃取目标进程数据、篡改目标进程数据等,从而监控程序运行、获取敏感信息等。常见的动态注入,可以获取登录账号、密码等。
检测结果 存在风险
结果描述 在该应用运行状态下,通过对其运行进程进行注入攻击,发现该应用仍然处于运行状态,且运行内存中存在注入的文件,说明该应用存在动态注入攻击风险。
出现次数 1次
检测详情 操作步骤如下:
1、安装APK文件到手机上并启动。2、使用inject向应用注入libhello.so。3、查看运行应用的maps信息是否包含libhello.so。该应用任然在正常运行,并且maps信息中包含libhello.so,说明该应用可以被动态注入so文件,存在风险。
解决方案 建议使用专业安全加固方案的防内存代码注入功能,防止应用被动态注入攻击。
