V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
RunningRabbit
V2EX  ›  Android

android app 360 加固后容易被破解,导致接口被盗用,有没有合适的第三方服务可以解决这个问题?

  •  
  •   RunningRabbit · 2023-11-13 16:19:35 +08:00 · 9691 次点击
    这是一个创建于 401 天前的主题,其中的信息可能已经有所发展或是发生改变。

    app 接口出现被盗用的情况,太贵的加固服务就不考虑

    26 条回复    2024-12-18 14:49:15 +08:00
    Geele
        1
    Geele  
       2023-11-13 16:30:53 +08:00
    和加固没关系吧,root 后抓包就能看到 http 明文
    AoEiuV020JP
        2
    AoEiuV020JP  
       2023-11-13 16:34:09 +08:00
    360 加固已经算是比较难破解的了,还是被破估计换别的也没用,
    考虑接口本身加固,增加 token 之类参与签名生成,或者重要接口添加验证码之类的方案,
    而且已经被破解了那首先接口验证方案就肯定是要改的,
    Cmdhelp
        3
    Cmdhelp  
       2023-11-13 17:14:48 +08:00
    加固解决不了问题
    owen800q
        4
    owen800q  
       2023-11-13 17:24:42 +08:00 via iPhone
    只出 IOS 版本,不要分发 Android
    joyhub2140
        5
    joyhub2140  
       2023-11-13 17:26:28 +08:00
    听说 flutter 开发的 app 比较难破解。

    不过现在让换技术也不太现实了。。
    evilwk
        6
    evilwk  
       2023-11-13 17:31:03 +08:00
    接口和加固有个啥关系,总有办法抓包。
    liberize
        7
    liberize  
       2023-11-13 17:33:22 +08:00 via Android
    用 https 并通过 ssl public key pinning 防抓包
    stinkytofu
        8
    stinkytofu  
       2023-11-13 17:36:08 +08:00
    把所有的网络请求参数放在 native 层封装并加密, 再通过 jni 调用 java 访问, 这样别人很难通过反编译 java 利用你的接口, 只有破解掉 so 才能得到你的加密方法和参数, 破解成本会提高很多. 很多人到这一步就放弃了. WhatsApp 就是这样操作的.
    AppJun
        9
    AppJun  
       2023-11-13 17:37:38 +08:00
    你确定接口被盗用是 Android App 被破解吗……

    感觉你想问的是“如何防止接口被盗用”以及“盗用之后应该怎么做处理”,而不是“怎么便宜的加固客户端”……
    vimiwivv
        10
    vimiwivv  
       2023-11-13 17:40:59 +08:00
    加上 frida 检测,加密放 so 层,再上 Ollvm 混淆
    xiaoriri666
        11
    xiaoriri666  
       2023-11-13 17:59:56 +08:00
    10 楼正解,或者花钱买商用的加密
    whileFalse
        12
    whileFalse  
       2023-11-13 18:03:16 +08:00 via Android
    接口做验证了吗
    holy834
        13
    holy834  
       2023-11-13 18:18:51 +08:00
    加固,就是防君子不防小人的,有心搞,从没见过哪个 app 破不了的,业务层防护才是解决问题根本之道
    limiter
        14
    limiter  
       2023-11-13 18:21:59 +08:00
    ???你理解你说的话是什么意思吗
    woldfoll
        15
    woldfoll  
       2023-11-13 18:25:50 +08:00 via iPhone
    只能增加门槛,想彻底防不现实
    miyuki
        16
    miyuki  
       2023-11-13 18:51:52 +08:00
    加固只有增加破解门槛,而不是杜绝

    再牛逼的加固,搞个机械手+摄像头拍屏幕图像识别,你该如何应对?
    mxT52CRuqR6o5
        17
    mxT52CRuqR6o5  
       2023-11-13 18:55:32 +08:00
    @joyhub2140 #5 flutter 的逻辑似乎是在.so 文件里的,我上次是准备改一个 flutter 应用,折腾半天也没改成功
    xFrye
        18
    xFrye  
       2023-11-13 20:08:50 +08:00
    方向错了吧应该从服务端下手,客户端可以默认他总是有被破解的风险
    RunningRabbit
        19
    RunningRabbit  
    OP
       2023-11-14 09:15:36 +08:00
    @AoEiuV020JP 接口加密安全是做过的,后面再改改
    RunningRabbit
        20
    RunningRabbit  
    OP
       2023-11-14 09:16:37 +08:00
    @liberize 这个方案后面研究下,不太懂这个技术
    RunningRabbit
        21
    RunningRabbit  
    OP
       2023-11-14 09:19:22 +08:00
    @vimiwivv 后面试试这种方式
    RunningRabbit
        22
    RunningRabbit  
    OP
       2023-11-14 09:20:47 +08:00
    @stinkytofu 好的,我们内部讨论下确定个方案
    StarYuhen
        23
    StarYuhen  
       2023-11-14 11:34:18 +08:00
    建议用梆梆加固企业版,自带反调试和检测,你还可以写个代理检测模块,可以防御百分之 99 的人,别用 flutter ,现在已经有一套流程解密了
    v2vTZ
        24
    v2vTZ  
       2023-11-15 14:05:44 +08:00
    接口有加密字段明文抓到了也没用.我估计楼主是想防止解包找加密方法之类的
    RunningRabbit
        25
    RunningRabbit  
    OP
       2023-11-16 10:35:16 +08:00
    @StarYuhen 之前了解过这个,加固比较贵,一个一两万了
    snowflake007
        26
    snowflake007  
       15 小时 52 分钟前
    都很贵,一个应用一年 1 万多。我找人 1000 加固 过了合规检测
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1052 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 22:42 · PVG 06:42 · LAX 14:42 · JFK 17:42
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.