Android移動應用風險控制系統的研究

劉龍錦 張志杰 梁世民

【摘要】? ? 截止至2020年6月，Android系統占據了手機系統74.6%市場份額，剩余26.4%市場份額由其他系統瓜分，絕對優勢的市場占有率造就了繁榮的Android生態及數量龐大的開發者。開發者水平的高低則給Android開發帶來了許多安全性問題。本文將從Android應用抓包防護，Java代碼防護，So代碼防護，簽名加密算法，服務端校驗方面進行研究，為應用的風險控制方案設計提供理論依據。

【關鍵詞】? ? Android? ? 抓包? ? 反編譯? ? 服務端

引言：

保護用戶數據，保護信息安全是每一個開發者，每一家互聯網公司都應該重點布防的區域。一套完整高效的風險控制方案，是開發者或公司開發實力的體現，也是高效保護用戶數據，信息安全，人人公平的重要手段。目前國內外在應用安全方面都比較著重，市場上也有阿里云、360、數美、數盟等安全服務廠商為Android應用提供安全加密服務。僅僅只靠第三方廠商提供的安全防護是遠遠不足的，我們需要控制用戶操作的完整鏈路，才能設計出一套優秀的風險控制系統。

一、防護方式

多數Android應用的操作邏輯為：客戶端進行操作，系統發送請求到服務器，服務端校驗請求合法及參數并返回數據，客戶端根據服務端返回數據進行相應界面展示。在這套操作邏輯中，客戶端的操作及數據發送部分存在風險。攻擊者通過反編譯Apk包，逆向出Android應用與服務端的通信協議，偽造非法請求攻擊。針對上述的攻擊方式，開發者會在Android應用的通信協議層進行防護，提高攻擊者抓包的難度，在請求中嵌入加密算法。……