首页 > 传媒 > 关键词 > 通付盾最新资讯 > 正文

通付盾移动加固实战系列:Android资源文件加密

2020-07-29 13:39 · 稿源:站长之家用户投稿

背景

Android App的资源文件中存放了大量的应用UI界面图片、UI布局文件、隐私数据文件等,如何保障这些资源文件的安全性一直是开发者和应用安全人员重点关注的问题。

在Android App中,资源主要分为assets资源和res资源两类。

1.assets文件夹是存放不进行编译加工的原生文件,即该文件夹里面的文件不会像xml,java文件被预编译,可以存放一些图片、html、js、css、证书等文件。

2.res资源则存放在App的res目录下,该类资源在App打包时大多会被编译,变成二进制文件,应用层代码通过resource id对该类资源进行访问。

常见方案及问题

目前市场上常见的资源文件保护方案主要有以下两种思路:

1. 资源文件混淆保护,对资源文件的路径进行混淆,缩短文件夹和文件名,以及替换/删除某个资源的名称。

此方式会增加破解者在破解时阅读难度,但是安全强度有限,仅对资源文件进行重命名并不能有效的保护资源文件,破解者依然能可查看并修改资源文件内容,只是破解的时间成本增加了。

2. 资源文件加密保护,通过加密手段,将Android资源的assets和res等目录的内容进行加密、隐藏及压缩,使用时再将文件解压并对文件解密。

此方式安全强度相对较高,破解者不能轻易查看和修改资源文件。但是一般只是实现了对assets资源文件的部分加密, 且运行时Android依旧需要读取本地解密后的资源文件,依然存在很大的安全隐患和安全漏洞。

通付盾创新方案-简介

通付盾移动加固团队在面向Android资源文件加密问题时,实践出一套更加完美的Android资源文件加密方案,不但能完成对assets和res文件进行更高标准的全部加密保护,同时能在Android加载资源文件的过程中实现资源文件的不落地解密,以此来避免资源文件被再次还原到本地目录带来的风险,从而对资源文件的保护得到质的提升。

图1Android资源文件加密方式

如图1所示,在资源文件加密的过程中,程序首先对App安装包进行分析,获取其中res和assets目录的地址,并对这两个资源文件夹下的内容进行抽取。

抽取完成之后,压缩成一个新的zip文件。再对这个zip文件进行整体加密,存放在App安装包的assets目录下,并且会删除安装包中原有的assets和res资源文件夹。

这样攻击者在拿到App安装包的时候就无法从res和assets目录下获取到原始资源文件,也无法进行重打包等恶意行为。对于被加密处理过的压缩资源文件,在调用加载的时候也做了安全保护处理,核心流程如图2所示。

图2Android资源文件加载方式

一般市面上对于加密后的资源包,在调用加载的时候都会进行解密,然后形成一份本地解密后的资源包文件,再由系统直接调用本地的资源目录进行读取或加载。这种方式还是会产生本地的资源目录和文件,代表着攻击者从本地目录中还是能够获取到所有的资源文件,无疑产生了极大的安全风险隐患。

对于此问题,我们创新性的采用不落地加载资源文件的方式来解决。即在Android加载资源文件的过程中,将加密后的资源包进行不落地解密等操作,并让系统能够读取到资源文件,以此来避免产生本地的文件目录,更有效的保护资源文件的安全。

在Android加载资源文件的过程中,系统最终是依靠一些关键的读写方法进行工作,我们对这些关键方法进行拦截操作,拦截到系统调用读写等动作之后,我们会开始执行对应目标资源文件的解密操作,并直接将解密后的资源文件加载到内存当中。加载到内存后,让系统去内存中直接读取到资源文件,App内就能正常使用到资源文件的内容。

通付盾创新方案-加密效果

加密前后资源文件目录对比如图3所示:

图3Android资源文件加固效果

加密后的资源文件内容如图4所示:

图4Android资源文件加密数据

若想体验资源加密功能,可以到通付盾云平台进行加固体验。https://cloud.tongfudun.com

图5通付盾云平台展示

免责声明:“站长之家”的传媒资讯页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与我们联系删除或处理。稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性,更不对您的投资构成建议。我们不鼓励任何形式的投资行为、购买使用行为。

  • 相关推荐
  • 大家在看
  • Firefox for Android将很快迎来更多扩展插件

    虽然 Mozilla 很骄傲地宣布为 Firefox for Android 引入了多款扩展,并且承诺后续会带来更多内容。但从用户的反响来看,这家浏览器制造商似乎与社区之间存在着脱节。尽管每夜构建版的本次升级变动很大,但与桌面平台上最热门的 Firefox 附加组件的相对独立,还是让不少人视之为一次倒退。

  • Android端Firefox引入重定向追踪保护功能

    在桌面端 Firefox 中引入 Enhanced Tracking Protection v2.0 之后,Mozilla 今天又将这项功能引入到 Android (Fenix)平台上。目前,ETP 2. 0 已在Firefox for Android Nightly中推出,属于“严格”跟踪保护的一部分。

  • Pixel用户吐槽Android 11:升级后性能被劣化

    前不久,Android 11正式版发布,除了谷歌Pixel系列亲儿子手机,OPPO、小米、一加等也纷纷跟进升级。要说谷歌对Android底层的理解最为深刻,操刀优化的功底理应最强,然而,一些Pixel用户吐槽反

  • 华为Mate 40 Pro或是本年度最后一款Android旗舰智能机

    随着2020年走入第四个季度,期待已久的华为Mate40/Mate40Pro或成为本年度最后到来的Android旗舰设备。WinFuture早前爆料称,Mate40Pro配备了基于5nm制程的海思麒麟(Kirin)9000八核芯片组,基准测试表明其已超越高通骁龙865。遗憾的是,受美方政策限制,这批海思麒麟90005G芯片组的库存也相对有限。

  • Google 将点名使用不安全软件的 Android OEM 厂商

    Google 安全研究人员正在扩大他们的工作范围,将针对三星、华为、中兴等 Android OEM 厂商手机上的软件漏洞展开调查。这项新的计划名为“Android合作伙伴漏洞计划”(APVI),由 Google Android 安全与隐私团队调查并披露 OEM 软件的缺陷。“APVI 涵盖了 Google 发现的可能影响 Android 设备或其用户安全态势的问题,并与 ISO/IEC 29147:2018 所刊载的信息技术、安全技术、漏洞披露建议的规范保?

  • Android 11 测试版新增与 iOS 类似的释放 RAM 占用功能

    DoNews 10月16日消息(记者 刘文轩)Google 在 Android 11 测试版本中加入一项新功能,使打开后却长时间未使用的应用暂时将占用的 RAM 释放,应用进入暂停状态避免持续在北京运行占用处理器等资源。这项功能将可以减少手机 RAM 被占用的情况,同时也能降低电量损耗。根据开发者发现内容,显示 Google 已经开始着手准备让 Android 手机的 RAM 的使用效率提升,借此达成更省电的目的。相比之下,苹果以软硬件高度整合的形式,让 iPho

  • 基于Android 11定制 一加8/8 Pro灰度推送氢OS 11正式版

    一加将于10月15日发布全新的一加8T,该机将预装基于Android 11深度定制的氢OS 11系统。赶在一加8T发布之前,一加为老旗舰一加8和一加8 Pro灰度推送了氢OS 11正式版(基于Android 11深度定制)

  • 微软Bing在13个国家的Android搜索引擎选单拍卖中胜出

    为了遵守欧盟委员会对Android的决定,谷歌去年宣布,将允许欧洲的Android用户在设备设置过程中选择默认搜索引擎来负责主屏幕搜索框和Chrome浏览器的入口工作。如果有三家以上的搜索供应商希望被列入选择界面,谷歌将进行拍卖。

  • 谷歌确认:Android 12从第三方商店安装应用将更简便

    尽管尚未有几款手机得以升级Android 11正式版系统,但谷歌已经迫不及待的地预告Android 12了。官方透露,基于开发者的反馈,在明年的Android 12系统上,将允许更容易地从第三方商店安装APP。

  • 谷歌在Android 11测试新功能:将大大提高手机续航时间

    众所周知,在系统流畅性上,安卓手机不如苹果手机。当然,作为手机厂商,为解决卡顿最直接的方法就是提高手机内存。虽然在进行多任务处理时手机更加流畅,但多后台也导致手机更加耗电。据外媒

  • 一加8T系列将预装氢OS 11:基于Android 11定制

    根据官方最新发布的消息,全新的一加8T将于10月15日也就是明天在北京正式发布,随着发布时间进入最后的倒计时,关于该机的爆料和预热也越来越密集。除了最常见到的外观和配置细节外,现在有最新消息,近日有知名数码博主表示,该机将预装基于Android 11深度定制的全新氢OS 11系统。根据数码博主最新发布的消息显示,全新的一加8T将预装基于Android 11深度定制的氢OS 11系统,不过赶在新机发布前,一加抢先为“老前辈”?

  • 谷歌Pixel更新Android 11后相机崩溃:Pixel 2/3a/4 XL均中招

    Android 11正式版于9月份正式上线,首批支持机型为谷歌Pixel系列。9月26日消息,据外媒报道,不少用户在Reddit论坛反映谷歌Pixel手机更新Android 11之后相机崩溃,中招机型为谷歌Pixel 2、谷歌

  • 谷歌Pixel更新Android11后相机崩溃,Pixel 2/3a/4 XL均中招

    Android11 正式版于 9 月份正式上线,首批支持机型为谷歌Pixel系列。9 月 26 日消息,据外媒报道,不少用户在Reddit论坛反映谷歌Pixel手机更新Android11 之后相机崩溃,中招机型为谷歌Pixel 2、谷歌Pixel 3a、谷歌Pixel 4 XL等等。

  • 逾240个Android广告欺诈应用伪装任天堂模拟器弹广告

    网络安全公司White Ops本周披露,他们在Google Play Store上发现超过240个用来执行广告诈欺的Android应用程序,这些应用程序的总安装量超过1400万,估计每天创造1500万次的广告曝光量,不过好在这些应用已经被Google移除。研究人员将这波广告诈欺活动命名为“RainbowMix”,它们采用同样的C&C架构,也都利用腾讯的Legu Packer来回避侦测,这些广告诈欺应用程序多伪装成任天堂模拟器或游戏,然而?

  • Android 11亲儿子谷歌Pixel 5曝光:骁龙765G卖5000元

    今天外媒曝光了Android 11亲儿子谷歌Pixel 5的详细信息。正如传闻所言,谷歌Pixel 5和上一代Pixel 4相比最大的变化之一是处理器“降配”。谷歌Pixel 4使用高通骁龙855旗舰处理器,

  • 【网络安全宣传周】通付盾央行监管沙盒篇

    9月14至20日期间,国家网络安全宣传周拉开帷幕,在此期间,通付盾“宣传周”也同步开启。作为多年深耕数字科技行业的资深企业,通付盾将围绕云战略实践、SaaS服务、信创及监管沙盒等四大主题,向广大客户分享通付盾在数字科技领域的实践成果。今天主题为:通付盾央行监管沙盒篇。2020年9月16日,随着金融科技创新监管试点应用(苏州)试点应用在第二届中新(苏州)金融科技应用博览会上的宣布,代表此次通付盾入围的创新应用“基于

  • 基于Chromium的浏览器错误地创建了一个神秘的调试文件 附解决办法

    如果你在Windows10上使用基于Chromium的浏览器(Chrome、Edge、Brave等),你应该会注意到一个名为"debug.log"的神秘文件。Windows10下运行这些浏览器时甚至还会有机会在桌面上创建debug.log文件,但技术人员分析后表明,该文件是由Chromium浏览器创建的,并不是微软和第三方浏览器开发方的错。

  • 云安全日报200922:谷歌Android 11正式版操作系统发现重要漏洞,需要尽快升级

    经过漫长的等待和几个月的Beta版本测试,上周谷歌终于发布了Android 11正式版移动操作系统,其功能为数十亿用户提供了对其数据安全性和隐私权的更多控制权。不过正式版刚刚放出不久,就已经有安全研究员发现了Android 11 系统中存在诸多安全漏洞。以下是漏洞详情:漏洞详情1.CVE-2020-0267 严重程序:严重该漏洞源于启动了恶意应用程序,攻击者借助该漏洞可本地特权升级2.CVE-2020-0318 严重程序:高该漏洞源于System UI 未捕获的

  • 回收站删除的文件怎么恢复?删除文件恢复啦!

    经历过类似情况,可以找回。我一般不会再用回收站里的文件,一顿操作后清空了自个的回收站。结果有个临时安排需要用到之前的文件,但回收站已经被清除了!于是赶紧问了懂电脑的朋友,当时直接问了他怎么恢复。朋友告诉可以利用电脑注册表恢复,但是操作比较复杂。大概梳理了操作过程,删除文件终于恢复啦!1.单击“开始”,再点击“运行”,然后输入regedit(打开注册表,也就是通过这个注册表恢复)2.在注册表编辑器中有很多文件?

  • 中国网络安全能力图谱发布,通付盾入围四大安全领域

    近日,国内数字化领域第三方调研机构数世咨询推出《中国网络安全能力图谱》(以下简称能力图谱),通付盾再次强势入选图谱四大安全领域。据悉,本次“安全能力图谱”为数世咨询原创与首发,并首选了业界100多家的优秀安全能力提供者,将安全能力划分成8个领域、45个一级分类、111个二级分类与24个三级,尽量把各种主流及具备鲜明特点的分类都容纳进来,并突出安全能力者,为国家部门、行业用户、研究机构和资本机构提供参考。通付?

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
  • 热门标签

热文

  • 3 天
  • 7天