Page 31 - 嘉和资讯八十九期

P. 31

质量专栏
使用 AndResGuard 进行资源混肴， APP 客户端程序应在启动和更新

针对反编译可进行加固。时进行真实性和完整性校验，防范客

户端程序被篡改（通过计算 crc32 或
□ APP 客户端访问操作安全
哈希值的方法对整个 apk 的真实性和

（1）APP 客户端应用程序访问完整性进行校验）。

用户终端的权限应限制在程序实现自

身功能的最低权限范围内，不应额外

访问 / 读取本地其他文件获取用户信

息；不应额外截获 / 记录 / 传输应用

登录访问的敏感信息；不应访问非应

用外 internet 访问及执行非许可的动 □ 程序的安全设计

作。
当程序组件被攻击后，通常会发

（2）APP 客户端应用程序不应现出现如下提示：

调用 / 修改本地其它系统功能（如摄究其原因，主要是以上组件没有

像头、录音、音量调节）进行非正常被保护，针对以上攻击可采用如下方

应用。
法：

（3）APP 客户端应用程序的权（1）Activity 组件暴露

限使用应充分告知终端用户。
解决方法：
□ APP 客户端软键盘安全

a. 设置 android:exported 属性
涉及用户敏感信息交互的用户输为 falsee，并核对暴露出的 Activity

入软键盘应采用有效的防窃取措施，能否将暴露属性修改为私有

如使用随机分布式虚拟安全键盘，对

键盘的数据输入过程、数据存储过程、 b. 通过基于权限的方法来定制一

内存数据换算过程进行全程高级加密个的权限，以限制应用程序之间的访

（加密要求见前文“APP 客户端数据问权限。

安全存储”、“APP 客户端数据安全（2）ContentProvider 组件暴

传输”部分），达到效防止数据侦听、露

键盘劫持、键盘截屏等攻击行为。
解决方案 :
□ APP 客户端完整性校验安
a. 设置 android:exported
全属性为 false，并核对暴露出的

26 27 28 29 30 31 32 33 34 35 36