博客

安全动态
投稿至邮箱: 在线投稿

APP安全之通信安全(下篇)

作者:系统报告 公布时间:2016-05-17 阅读次数:13933

APP安全之通信安全(下篇)

既然APP通信存在诸多安全问题,那么究竟如何才能提高APP的通信安全呢?

对数据做HASH加密校验
(1)在so文件中进行HASH校验,即KEY+parameters,当然也会对KEY进行混淆,但KEY保存在APP本地迟早是要泄露,更好的做法是使用动态KEY。
(2)有效利用APP的签名证书,服务器端使用该证书的私钥加密动态KEY发送到客户端,客户端使用从本地APP中获取到的公钥信息解密得到KEY,然后进行签名。
(3)重打包过的APP,获取到的公钥信息与官方APP不同,就无法解密得到动态KEY,从而可以在一定程度上预防重打包。当然实现上需要注意,如图6为获取APP公钥信息的函数。
(4)若在需要动态KEY的地方调用该函数,重打包时只需要修改该函数返回值,就可以被绕过,正确做法应该如图7所示。在APP的多个功能处使用本地公钥信息,可以一定程度解决重打包风险。

所以,在APP通信安全方面,应优选SSL Pinning方式的HTTPS的传输和动态获取KEY方式的完整性校验。

点击以下链接,查看完整内容
http://mp.weixin.qq.com/s?__biz=MzI5ODE0ODA5MQ==&mid=2652277120&idx=1&sn=ece9ce6624b141a305aa8a7f7a9f068d#rd