安卓应用测试平台的应用安全检测

安卓应用测试平台的应用安全检测以下是爱内测平台的应用源码安全检测分析：一、DEX文件保护检测：项目描述DEX(class.dex)文件是Android系统中可以在Dalvik虚拟机上直接运行的文件格式。Java源码通过ADT编译成smali语言这是一个优化的过程，相对于.class文件它体积小、运行效率高、被编译后可读性低;smali再到class.dex这是一个加壳保护的过程。因为google对其的加壳保护早已被黑客攻破导致class.dex对其保护的功能已经完全丢失。目前网上很多工具都能一键对class.dex进行反编译。风险分析DEX未做保护，黑客通过反编译可让源码完全暴露。黑客可利用阅读源码来找到APP的设计流程，通过对程序流程的了解将很容易对程序进行盗版、恶意篡改、恶意代码注入等危险行为。黑客反编译后，通过暴露的URL连接对其服务器进行恶性攻击，从而使APP服务端崩溃或窃取APP资料。还能对源码的阅读了解程序的代码设计流程，对部分积分机制的APP进行恶意破解，让其绕过程序的机制从而导致公司利益受损。通过对暴露的源码阅读，让APP的创意代码和设计流程被窃取。二、源码混淆保护检测：项目描述代码混淆是对发布出去的程序进行重新组织和处理，程序仍然遵照原来的档案格式和指令集，执行结果也与混淆前一样，只是混淆器将代码中的所有变量、函数、类的名称加密为简短的英文字母代号,从而让源码就算被反编译了但也难以阅读和理解。采取源码混淆只能在程序已经被反编译后对源码的查看上起到难以理解的作用。Android的四大组件是不允许被混淆的，导致其功能性在Android安全上大大降低。风险分析未做混淆保护，黑客反编译后，可以还原真实代码情景，完整的窃取你的代码逻辑。AndroidAPP的源码进行混淆后混淆器将代码中的所有变量、函数、类的名称加密为简短的英文字母代号，在APP被破解后增加破解者对代码的阅读难度。但是混淆的功效只能运作在APP已经被破解后，而且只是增加破解者的难度时间，对其防止破解的作用意义不是很大。三、资源文件保护检测：项目描述资源文件是指Android项目res文件夹下的所有资源文件(图片、文字、布局、音频、视频、等文件)。APK对其资源文件只做过很简单的保护措施，经过打包工具解包后的所有资源都是可随意被修改和窃取的。文字资源将会暴露源码功能块的位置，从而导致代码很容易被恶意修改。风险分析资源文件未做保护，黑客拆包后，很容易窃取和修改替换图片、文字、布局、视频、视频等文件。四、主配文件保护检测：项目描述主配文件(Androidmanifest.xml)：它主要是配置Android四大组件、权限、全局变量等数据的地方。黑客若想盗版APK，想嵌入恶意代码就必须要在主配文件进行恶意代码的相关配置以便恶意代码能够正常运行。风险分析主配文件未做保护，会被修改、添加敏感权限。会被植入第三方服务、界面、广播等。五、防二次打包保护检测：项目描述二次打包是指将APK拆包后重新打包，二次打包必将丢失原有的签名。风险分析防二次打包未做保护，很容易被盗版。六、so库文件(核心代码)保护：项目描述so库一般是程序里面核心代码块，通过Android提供的NDK技术将核心代码用安全性更高的C/C++语言实现并提供给Java层调用来保证程序核心代码的安全。高性能的代码一般都会采取C/C++实现，通过Android的NDK技术来让Java层直接使用。其安全性相对于Java会高很多，但依旧可以通过暴力破解或国外高价工具来将其破解。风险分析so文件未做保护，可能被暴力破解，市场上也有很多破解so文件的收费工具。so库的破解也就意味着核心代码的暴露，数据加密算法的暴露等。