2014 年初,移动互联网产业快速发展,App 井喷式爆发,绝大多数使用的是 Android 系统。但是那时候大多数的开发者没有做好 App 的安全防护措施,面对移动互联网黑灰产的攻击,App 基本上处于“裸奔”状态。那些年,我们可以看到很多真实的 App 攻击案例:
*针对某款无人机,攻击者通过攻击操作者终端的 App,实现对无人机的远程劫持,重现 2014 年热门科幻电影《星际穿越》中的场景。
*针对特斯拉汽车,攻击者通过攻击车主终端的 App,实现对汽车远程开关门等恶意控制。
*针对日本最大马桶公司 Laxil 生产的智能马桶,攻击者通过攻击 App,实现远程控制,比如让坐浴喷水超过 1 米高、激活各种功能,使用户陷入窘境。
近年来,随着 App 的客户越来越多,被攻击的情况也越发增加,而且相比网站防御 ,App 防御难点很多。
App 仍然普遍存在大量的安全问题。例如,apk 文件反编译后暴露关键业务逻辑代码,网络通信使用明文传输关键业务数据,受限服务接口未经授权可远程任意访问,本地敏感数据未经加密可被其他 App 直接读取,等等。
很多 App 的安全防御能力都很薄弱,易被攻击,其中不仅有金融、支付、保险等领域的App,还有物联网 App 和车载 App 等。这些存在安全问题的 App 通过应用商店发布后,攻击者可以利用以上缺陷和漏洞对 App 进行逆向破解,导致 App 开发者不得不面临 App 被破解篡改、版权被盗用、用户信息泄露、交易支付被劫持等诸多烦恼,还可能因为严重的信息泄露问题不得不承担法律责任。
为了避免上述安全问题,对 App 进行安全测试就显得尤为必要。但是目前市场上没有公开、统一的安全测试标准,同时,安全企业又各有各的安全测试标准,这就导致 Android 开发者和测试人员没有渠道可以全面了解安全测试的标准和规范。
为了让每一个 App 开发者都能做一个具有安全经验的开发者,并从源头上避免最常见的安全风险点,让爱好者一开始就有一个 App 安全测试的思维模型雏形。
一线安全从业者将多年积累的安全测试经验整理成册, App 安全“红宝书”就此诞生!
这本书是市面上唯一一本讲解 Android 应用安全的入门书,涵盖 Android 应用 5 大类 55 项安全测试的要求与方法。对新手十分友好,将理论与实践充分结合起来,通过安全测试+安全防护,实现完美闭环,全方位精准提升 App 安全。
那么这本书有哪些特色呢?我们来具体看看。
全书内容概述
第 1 章,作者首先介绍安全基础。包括 App 安全测试过程中所需要了解的 Android App 安全基础,如 Android App 的生成和运行过程、Android 系统的安全模型。
第 2 章,介绍测试工具。包括 App 安全测试过程中所需要使用的测试分析工具,从静态分析、动态分析、抓包分析、挂钩框架 4 个方面具体介绍 10 种以上必要工具的使用方法。
第 3~8 章,讲解安全测试。从如何识别 App 中的信息资产入手,分析移动应用业务所涉及的关键信息资产,并深入分析移动应用生命周期中涉及的关键信息资产可能在什么地方遭受攻击,帮助读者进行 App 攻击面的理解和识别,总结 App 所涉及的信息资产和安全测试框架。在此基础上,对不同攻击面可能产生的安全问题进行分类和梳理。
其中,第 4~8 章分别从程序代码、服务交互、本地数据、网络传输和鉴权认证这 5 个方面提出 App 安全测试要求,并形成相应的安全测试方法。
第 9~12 章,主要讲解安全防护。第 9 章介绍 Android App 的安全防护基础和加固技术。目前加固技术相对神秘,对加固技术进行详细介绍的图书很少,这一章会详细讲解 Android App 安全加固,分析第一代加固到第四代加固技术。
第 10 章和第 11 章,分别从静态防护和动态防护两个方面详细介绍 Android App 加固技术的原理。第 12 章介绍如何对加固后的 Android App 进行脱壳,并通过实例讲解具体的脱壳步骤。
市场上第一本详细讲解
Android 应用安全评测技术的书
《Android应用安全测试与防护》
何能强,阚志刚,马宏谋 著