问下安卓如何防止 root 下抓包， app 接口请求并没有做加密措施

你权限类相关，跟你的请求一点关系都没有。工信部是查你调用某个权限相关的声明或者 api 调用，然后被抓住了。并不是分析你请求的数据有没有相关隐私

服务端不配合的话。。。你咋改都没用啊，服务端只能识别明文。

感觉你们搞错了方向. 所谓的隐私数据, 应该是用户的联系人短信, 手机 iemi, mac 等这些数据, 好好看下这些有没有读取, 还有一个整改是获取用户的必要信息, 这个看你的 app 就清楚了

不 root 都能抓包呢？更别说 root 后了

@palxie 都有，只不过我分配到我的任务就是传输数据安全，其他人做的是你说的那些

永远无法防止
只能提高门槛
https 仅仅防止中间人
证书信任 仅仅防止不会过 ssl pinning 的人
证书校验 仅仅防止没有逆向能力的人
参数加密 仅仅防止逆向能力很低的人
自写协议 仅仅防止逆向能力不高的人

所以 看情况 看成本 加策略
不要为了防止抓包而防止抓包
应该是 你为什么要防止抓包？？？

防爬虫？？？那可以加请求频率限制 可以加风险等级评估
比如是不是正常用户？？？？是不是正常手机？？？是不是正常操作流程？？？

防攻击？？？
那可以加 web 防火墙 可以提高自己 router 容错率

防刷推广安装量？？？
加溯源 加留存 加异常打点 建数据模型观察

还有防止什么呢？我暂时想不到

@kings0527 我知道防不住，任务哎，不做咋办... 先混过检查吧

应用内开一个本地端口，应用内所有请求转发至该端口，该端口所有请求加密转发至远程端口，远程端口解密后转送至标准地址， 中间加密转发解密可参考使用现有某某不能说系统

@jetpy 第一句话就木桶定律了 等于做了一个高级防盗门但是窗户没关

@kings0527 这种请求都没有出应用， 应该是已经好一些了。 那如果再要进一步的话就是把相关协议加密代码集成到 app 里， 直接封装 socket， 使用封装的 socket 发送 http 请求，使用这个新的发送 http 请求的包替换系统已有的所有原包

@starsky007 工信部大规模检查 app，要求很苛刻，都在整改，因此还产生一些咨询公司，一个 APP 一年十多万 给你咨询建议几次

证书是一个方面，整个 http 参数加密传一次，简单的话就 aes，复杂就 ecc rsa

接口加密，使用拦截器呀。怎么可能每个接口都写一遍。一般现在采用 RSA+DES 。

使用拦截器是工作量最小的解法。 毕竟是个对抗的过程，没有一劳永逸的方法

没办法.攻防无绝对,防不了的