问下安卓如何防止 root 下抓包, app 接口请求并没有做加密措施

2021-09-16 18:14:03 +08:00
 shiguiyou

要改接口的话,加密每一个接口改动比较多,隐私整改需要快速上线

17133 次点击
所在节点    Android
75 条回复
siyehua
2021-09-17 14:31:07 +08:00
你权限类相关,跟你的请求一点关系都没有。工信部是查你调用某个权限相关的声明或者 api 调用,然后被抓住了。并不是分析你请求的数据有没有相关隐私
skye
2021-09-17 14:57:10 +08:00
服务端不配合的话。。。你咋改都没用啊,服务端只能识别明文。
palxie
2021-09-17 16:57:21 +08:00
感觉你们搞错了方向. 所谓的隐私数据, 应该是用户的联系人短信, 手机 iemi, mac 等这些数据, 好好看下这些有没有读取, 还有一个整改是获取用户的必要信息, 这个看你的 app 就清楚了
GOURIDE
2021-09-17 18:17:21 +08:00
不 root 都能抓包呢?更别说 root 后了
shiguiyou
2021-09-17 18:58:58 +08:00
@palxie 都有,只不过我分配到我的任务就是传输数据安全,其他人做的是你说的那些
kings0527
2021-09-18 10:30:53 +08:00
永远无法防止
只能提高门槛
https 仅仅防止中间人
证书信任 仅仅防止不会过 ssl pinning 的人
证书校验 仅仅防止没有逆向能力的人
参数加密 仅仅防止逆向能力很低的人
自写协议 仅仅防止逆向能力不高的人

所以 看情况 看成本 加策略
不要为了防止抓包而防止抓包
应该是 你为什么要防止抓包???

防爬虫???那可以加请求频率限制 可以加风险等级评估
比如是不是正常用户????是不是正常手机???是不是正常操作流程???

防攻击???
那可以加 web 防火墙 可以提高自己 router 容错率

防刷推广安装量???
加溯源 加留存 加异常打点 建数据模型观察

还有防止什么呢?我暂时想不到
shiguiyou
2021-09-18 10:56:26 +08:00
@kings0527 我知道防不住,任务哎,不做咋办... 先混过检查吧
jetpy
2021-09-18 11:42:41 +08:00
应用内开一个本地端口,应用内所有请求转发至该端口,该端口所有请求加密转发至远程端口,远程端口解密后转送至标准地址, 中间加密转发解密可参考使用现有某某不能说系统
kings0527
2021-09-18 11:57:31 +08:00
@jetpy 第一句话就木桶定律了 等于做了一个高级防盗门但是窗户没关
jetpy
2021-09-18 14:26:29 +08:00
@kings0527 这种请求都没有出应用, 应该是已经好一些了。 那如果再要进一步的话就是把相关协议加密代码集成到 app 里, 直接封装 socket, 使用封装的 socket 发送 http 请求,使用这个新的发送 http 请求的包替换系统已有的所有原包
liuidetmks
2021-09-18 22:38:57 +08:00
@starsky007 工信部大规模检查 app,要求很苛刻,都在整改,因此还产生一些咨询公司,一个 APP 一年十多万 给你咨询建议几次
liuidetmks
2021-09-18 22:42:24 +08:00
证书是一个方面,整个 http 参数加密传一次,简单的话就 aes,复杂就 ecc rsa
zhanlanhuizhang
2021-09-20 17:59:47 +08:00
接口加密,使用拦截器呀。怎么可能每个接口都写一遍。一般现在采用 RSA+DES 。
lushan
2021-09-20 20:43:25 +08:00
使用拦截器是工作量最小的解法。 毕竟是个对抗的过程,没有一劳永逸的方法
Jione
2021-09-26 11:43:45 +08:00
没办法.攻防无绝对,防不了的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://ex.noerr.eu.org/t/802359

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX