我正在开发一个使用证书固定的 Android 应用程序(以类似的方式,例如 this)。
但是,我遇到过动态检测库,例如 Frida ,或者更糟的是,Objection ,可以绕过此保护措施。
我知道安全必须在服务器端实现,但是,我想在我的 API 之外继续窥探。此外,我还了解到 Java 可执行文件易于反汇编和分析。
我怎样才能使这个过程对攻击者来说更加困难,即制作基本命令,例如 objection 的
android sslpinning 禁用
失败并强化我的应用程序?我已经看到,根据 Assets 的命名,此过程也会崩溃。
有什么想法吗?
最佳答案
一些硬框架可以使 Frida 和类似工具更难附加和操作应用程序进程。然而,如果有足够的时间、动力和/或金钱,您甚至可以打破这些框架。
然而,通常问题不是“是否使用强化框架”,而是“你愿意花多少钱来获得这种额外的保护?”
据我所知,没有免费甚至廉价的加固框架(如果我错了请纠正我并提供指向那些具有良好保护的免费/廉价解决方案的链接),因此这只是一个问题你想要多少保护以及如何你愿意付出多少。
注意:Proguard 和 R8 不是加固框架!他们只是稍微混淆了代码,但特别是当涉及到证书固定和通过 Frida 禁用它时,他们不提供任何保护!
关于android - 避免禁用证书固定 Android,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/54563671/