· 更新于 2024-08-26
安全与破解

Android合规安全

一、先上结论

1
2
javaCmdPath=/Library/Java/JavaVirtualMachines/jdk-17.jdk/Contents/Home/bin/java
jiaguJarFilePath=${jiaguDic}/jiagu.jar

问题1,通过勾选资源加密策略,对资源目录中明文证书加密保护

1
2
3
4
#高级加固服务:
#    资源文件保护: -assets
#        配置需要排除的资源文件列表(多个文件使用英文逗号分隔): -assets=文件1,文件2
${javaCmdPath} -jar ${jiaguJarFilePath} -config-jiagu add -assets

问题2,通过勾选日志防泄露策略,防止日志泄露

1
2
3
#高级加固服务:
#    日志防泄漏: -anti-log
${javaCmdPath} -jar ${jiaguJarFilePath} -config-jiagu add -anti-log

问题3,勾选本地数据文件加密策略,对XML存储明文数据进行加密保护

1
2
3
#高级加固服务:
#    文件完整性校验: -file-check
${javaCmdPath} -jar ${jiaguJarFilePath} -config-jiagu add -file-check

问题4,勾选ptrace防注入策略,为应用添加防注入保护

1
2
3
#高级加固服务:
#     Ptrace防注入: -ptrace
${javaCmdPath} -jar ${jiaguJarFilePath} -config-jiagu add -ptrace

二、APP安全漏洞项的原因分析与加固前后对比

(1)*证书明文存储风险*

image-20231025192829546

bid-log-key-public.key 加固前后数据对比(加固使用360企业版)

image-20231025192211991

(2)*日志函数泄漏风险*

image-20231025193458250

对安装包中的 classes.dex 进行反编译(使用qtool 下的 decompile_dex.py 脚本),分别得到如下结果

未加固前:

image-20231025213337351

加固后:

image-20231025215240636

(3)*XML存储明文数据风险*

image-20231025191441524

加固前后数据对比(加固使用360企业版)

image-20231025191112052

(4)*动态注入检测*

image-20231025191712639