4

機密データを処理するアプリを開発しています。

アプリには、暗号化、SSL を含む合理的なセキュリティ モデルがあり、データはデバイスに永続的に保存されません。

私のアプリがルート化されたデバイスで実行されているかどうか、またはデバイスがルート化されているという事実がアプリの悪用/ハッキングをはるかに容易にするかどうかを判断しようとしています. 問題は、機密データを処理するアプリをルート化されたデバイスで実行する必要があるかどうかです。

私は調査を行いましたが、ルート化されたデバイスの安全性についての議論は見たことがありません. ルート化されたデバイスを検出する方法が回避される可能性があることは認識していますが、ルート化されたデバイスをサポートしないことに何の意味がありますか?

4

2 に答える 2

3

The biggest security concerns to apps on rooted devices are that:

  1. Users can access your internal data directly
  2. Other apps can access your app's private data

The best you can do is:

  1. Encrypt your data in a manner that makes it hard to reverse engineer. If someone is after your data, you should work on the assumption that they have decompiled your app as well. Due to this, do all encryption/decryption on the server, and don't make your algorithms etc common knowledge
  2. If you are supposed to store data on the device itself, make it obscure. So if you have to save an integer, don't save the raw value. Use something like savedValue = ((((realValue*10)+1)/365*23)*50)+1; This makes it hard for a hacker to edit your saved value and get a desired result, though since he/she would have decompiled your apk, it's a very basic protective measure.
  3. Store as little high risk data as possible on the device. When needed, download it over a secure connection, display it and delete it even from the RAM. Also, keep confidential data in the memory for as little time as possible, as unencrypted data in the RAM can be read.
  4. Make sure your encryption techniques aren't easy to brute force. As other apps can also access your data on rooted devices, there is a chance your data could be sent to a remote server for decryption, and such a server will have a lot more processing power than your mobile phones

These are just some suggestions I could think of. I am by no means a security expert, and you might want to consult one of those on this matter.

于 2012-09-18T14:51:00.677 に答える
1

アプリは、Android をルート化したデバイスで侵害されていますか? はい、そうです。

ルート化されていない電話でも、攻撃者が脆弱性を捉えてルート コントロールを取得する可能性は依然としてあります (GingerBreak はその例の 1 つです)。したがって、ユーザーがルート化していなくても、100% 電話が侵害されていないということはありません。

おっしゃったように、ルートの検出はバイパスされる可能性があるため、完全に信頼できるとは言えません。ただし、ルート化された電話を検出した場合は、間違いなくブロックする必要があります。検出されない場合でも、電話がルート化されていないことを意味するわけではなく、ルート化された電話に対する攻撃に対するセキュリティ メカニズムが必要です。

対処する必要がある攻撃には、中間者攻撃、キーロガー、スクリーン キャプチャ、ユーザー モード ルートキット、カーネル モード ルートキットなどがあります。

幸いなことに、このような種類の攻撃からアプリを保護するためのライブラリを作成している会社があります。彼らはあなたの面倒を見てくれるので、頭痛から解放される解決策を提供してくれます。V-Keyはその 1 つです。彼らの Web サイトを見て、V-Guard製品を購入するかどうかを検討してください。

于 2012-09-18T15:50:09.370 に答える