2014 年初,移動互聯網產業快速發展,App 井噴式爆發,絕大多數使用的是 Android 系統。但是那時候大多數的開發者沒有做好 App 的安全防護措施,面對移動互聯網黑灰產的攻擊,App 基本上處於“裸奔”狀態。那些年,我們可以看到很多真實的 App 攻擊案例:
針對某款無人機,攻擊者通過攻擊操作者終端的 App,實現對無人機的遠程劫持,重現 2014 年熱門科幻電影《星際穿越》中的場景。
針對特斯拉汽車,攻擊者通過攻擊車主終端的 App,實現對汽車遠程開關門等惡意控制。
針對日本最大馬桶公司 Laxil 生產的智能馬桶,攻擊者通過攻擊 App,實現遠程控制,比如讓坐浴噴水超過 1 米高、激活各種功能,使用戶陷入窘境。
近年來,隨着 App 的客戶越來越多,被攻擊的情況也越發增加,而且相比網站防禦 ,App 防禦難點很多。
App 仍然普遍存在大量的安全問題。例如,apk 文件反編譯後暴露關鍵業務邏輯代碼,網絡通信使用明文傳輸關鍵業務數據,受限服務接口未經授權可遠程任意訪問,本地敏感數據未經加密可被其他 App 直接讀取,等等。
很多 App 的安全防禦能力都很薄弱,易被攻擊,其中不僅有金融、支付、保險等領域的App,還有物聯網 App 和車載 App 等。這些存在安全問題的 App 通過應用商店發佈後,攻擊者可以利用以上缺陷和漏洞對 App 進行逆向破解,導致 App 開發者不得不面臨 App 被破解篡改、版權被盜用、用戶信息泄露、交易支付被劫持等諸多煩惱,還可能因爲嚴重的信息泄露問題不得不承擔法律責任。
爲了避免上述安全問題,對 App 進行安全測試就顯得尤爲必要。但是目前市場上沒有公開、統一的安全測試標準,同時,安全企業又各有各的安全測試標準,這就導致 Android 開發者和測試人員沒有渠道可以全面瞭解安全測試的標準和規範。
爲了讓每一個 App 開發者都能做一個具有安全經驗的開發者,並從源頭上避免最常見的安全風險點,讓愛好者一開始就有一個 App 安全測試的思維模型雛形。
一線安全從業者將多年積累的安全測試經驗整理成冊, App 安全“紅寶書”就此誕生!
這本書是市面上唯一一本講解 Android 應用安全的入門書,涵蓋 Android 應用 5 大類 55 項安全測試的要求與方法。對新手十分友好,將理論與實踐充分結合起來,通過安全測試+安全防護,實現完美閉環,全方位精準提升 App 安全。
那麼這本書有哪些特色呢?我們來具體看看。
全書內容概述
第 1 章,作者首先介紹安全基礎。包括 App 安全測試過程中所需要了解的 Android App 安全基礎,如 Android App 的生成和運行過程、Android 系統的安全模型。
第 2 章,介紹測試工具。包括 App 安全測試過程中所需要使用的測試分析工具,從靜態分析、動態分析、抓包分析、掛鉤框架 4 個方面具體介紹 10 種以上必要工具的使用方法。
第 3~8 章,講解安全測試。從如何識別 App 中的信息資產入手,分析移動應用業務所涉及的關鍵信息資產,並深入分析移動應用生命週期中涉及的關鍵信息資產可能在什麼地方遭受攻擊,幫助讀者進行 App 攻擊面的理解和識別,總結 App 所涉及的信息資產和安全測試框架。在此基礎上,對不同攻擊面可能產生的安全問題進行分類和梳理。
其中,第 4~8 章分別從程序代碼、服務交互、本地數據、網絡傳輸和鑑權認證這 5 個方面提出 App 安全測試要求,並形成相應的安全測試方法。
第 9~12 章,主要講解安全防護。第 9 章介紹 Android App 的安全防護基礎和加固技術。目前加固技術相對神祕,對加固技術進行詳細介紹的圖書很少,這一章會詳細講解 Android App 安全加固,分析第一代加固到第四代加固技術。
第 10 章和第 11 章,分別從靜態防護和動態防護兩個方面詳細介紹 Android App 加固技術的原理。第 12 章介紹如何對加固後的 Android App 進行脫殼,並通過實例講解具體的脫殼步驟。
☟
市場上第一本詳細講解
Android 應用安全評測技術的書
《Android應用安全測試與防護》
何能強,闞志剛,馬宏謀 著
本書是市場上第一本詳細講解 Android 應用安全評測技術的書。從實際應用出發,側重實戰,深入淺出地講解應用安全測試內容。涵蓋 Android 應用 5 大類 55 項安全測試的要求與方法。主要內容包括安全基礎、測試工具、安全測試和安全防護四個部分,是 Android 應用安全入門必讀書。
適合讀者:
Android 開發者
安全測試工程師
App 安全業務人員
安全測試零基礎的在校大學生
對 Android 應用安全測試感興趣的所有人
作者介紹
何能強,博士,畢業於清華大學電子工程系,國家互聯網應急中心(CNCERT/CC)高級工程師,長期從事國家級移動互聯網網絡安全應急響應和安全防護工作,出版網絡安全領域的著作 1 部、譯著 1 部,牽頭髮布通信行業標準十餘項,以第一作者獲得國家發明專利授權 4 項,出版移動互聯網安全年報 3 本,發表 SCI、EI 等學術論文十餘篇,負責中國互聯網網絡安全威脅治理聯盟、中國反網絡病毒聯盟等主要工作。
闞志剛,博士,梆梆安全董事長兼首席執行官,於 2010 年創立梆梆安全,一直致力於爲用戶打造安全的移動應用生態環境,保障萬物互聯時代下的智能生活。2018 年當選國家“萬人計劃”科技創業領軍人才,2016 年當選科技部“科技創新創業人才”,2012 年當選中關村“高端領軍人才”。
馬宏謀,某知名互聯網安全公司安全部門副主任,參與過多個安全評測和惡意代碼深度逆向分析項目,具有 8 年以上的 PC 端和移動端病毒分析經驗,逆向分析實戰經驗豐富。
“
獲得衆多互聯網大佬和安全專家聯袂推薦
隨着傳感和移動計算技術的不斷進步,App 通過收集和計算移動終端數據爲用戶提供各種個性化服務越來越普遍。然而,數據泄露等安全問題也隨之而來。爲了給用戶提供更加安全可靠的服務,開發者需要知道 App 到底會存在哪些安全問題,如何發現問題、加強防護。建議 App 開發者一定要讀這本書,從而掌握 App 安全測試的具體方法,瞭解 App 安全加固的具體思路,大大提升 App 的安全性。
—— 曹建農,香港理工大學電子計算學系講座教授、互聯網與移動計算實驗室主任
移動 App 安全問題的解決,既需要通過移動 App 安全測試來檢測,也需要在移動 App 設計、開發、發佈過程中進行主動的防護。這本書從 Android 系統的安全模型以及 Android 應用的生成和運行原理講起,全面介紹了各種安全測試工具、安全測試方法、靜態加固技術、動態加固技術以及應用脫殼的知識,是一本 Android 應用安全入門“All in One”的好書,非常適合Android 應用安全測試人員與開發人員閱讀。
—— 譚曉生,中國計算機學會副祕書長,北京賽博英傑科技有限公司董事長
安全測試與安全防護是提升 App 安全性的兩大途徑,本書兼顧兩方面的內容,系統翔實地介紹了 App 安全測試的工作思路和測試方法,同時解密了大家都關心的 App 安全加固技術,內容豐富,實戰性強,從事 App 安全工作的讀者值得一讀。
—— 範淵,杭州安恆信息技術股份有限公司董事長、總裁
本書從安全測試的視角展開,介紹了 Android 軟件安全相關的知識,講解了軟件測評與加固技術等在實際應用中涉及的知識點,讀者能從中學習到不少前沿的技術乾貨。
—— 豐生強,《Android 軟件安全與逆向分析》《Android 軟件安全權威指南》作者
”如果你正因爲 App 安全而煩惱,那不妨來看看這本,沒準正是你需要的!
文末暢聊
說說你工作、生活中遇到過哪些 App 的安全漏洞,或者哪些 App 做的讓你想吐槽?精選留言選出 3 位獲得贈書。活動截至 2020.6.12。
推薦閱讀:
他是馬斯克最崇拜的男人,11次婉拒諾獎,被稱作神,卻死於貧窮
作爲谷歌開發者佈道師,我爲什麼要寫這本通俗的《數據壓縮入門》(二)
霸榜18年,作者連續20年獲得微軟MVP,這本SQL書憑什麼成爲暢銷經典
☟ 一鍵擁有