Android App 如何防止抓包

头像
xiangzhihong
    5.4k3
    发布于
    重庆

    在软件开发中,常用的抓包方式有 Charles 、 Fiddler和Burp,它们通过在手机网络中添加代理的方式,然后安装信任证书,接着就可以在 App 请求的时候拿到请求数据。不过,这也可能导致一些安全问题,所以对于我们通常的处理方式是,对于线上运行的包,需要防止这些抓包手段。

    1,使用无代理 Proxy.NO_PROXY

    在Android开发中,大部分的App的网络请求都是基于charles 和 fiddler 来进行抓包的,对网络客户端使用无代理模式即可防止抓包,代码如下。

    OkHttpClient.Builder()
            .retryOnConnectionFailure(true)
            .proxy(Proxy.NO_PROXY)
            .sslSocketFactory(ssl, trustManager)
            .build()

    通常情况下上述的办法有用,但是无法防住使用 VPN 导流进行的抓包( Drony + Charles),使用VPN抓包的原理是,先将手机请求导到VPN,再对VPN的网络进行Charles的代理,绕过了对App的代理。

    2,使用证书校验

    此种方式可以有效的防止抓包,需要在App端嵌入证书,下面是证书校验的一些说明:
    在这里插入图片描述

    下面是使用Okhttp配合X509TrustManager对服务器证书进行校验的逻辑:如果服务器证书的 subjectDN 和嵌入证书的 subjectDN 一致,我们再进行签名内容 signature 的比对,如果一致则说明合法,否则是不合法的,不进行链接操作。
    首先,我们需要从本地读出证书,获取一个X509Certificate。

    val myCrt: X509Certificate by lazy {
    getCrt(R.raw.my_ca)
}
 
private fun getCrt(@RawRes raw: Int): X509Certificate {
    val certificateFactory = CertificateFactory.getInstance("X.509")
    val input = ApplicationContext.resources.openRawResource(raw)
    input.use {
        return certificateFactory.generateCertificate(input) as X509Certificate
    }
}

    然后,检查服务器证书时对比嵌入的证书是否合法。

    private fun getTrustManagerInRelease(): X509TrustManager {
    return object : X509TrustManager {
 
        override fun checkClientTrusted(chain: Array<X509Certificate>, authType: String?) {}
 
        override fun getAcceptedIssuers(): Array<X509Certificate> = arrayOf()
 
        override fun checkServerTrusted(chain: Array<X509Certificate>, authType: String?) {
            val myCrt: X509Certificate = myCrt
            if (chain[0].subjectDN.name == myCrt.subjectDN.name) {
                if (!myCrt.signature!!.contentEquals(chain[0].signature)) {
                    throw SSLHandshakeException("签名不符!")
                }
            }
        }
    }
}

    最后,在每次请求前将自定义的 SSLSocketFactory 和 X509TrustManager 填充到Okhttp 客户端中。

        private fun getClient(ssl: SSLSocketFactory, trustManager: X509TrustManager): OkHttpClient {
        return OkHttpClient.Builder()
            .retryOnConnectionFailure(true)
            .proxy(Proxy.NO_PROXY)
            .sslSocketFactory(ssl, trustManager)
            .build()
    }

    经过上面的操作后,就基本解决了 Drony + Charles 抓包问题。不过为了安全,很多的银行类和支付类应用还会进行双证书的校验。

    android程序员安全
    本作品系原创,采用《署名-非商业性使用-禁止演绎 4.0 国际》许可协议
    1 篇内容引用
    avatar

    著有《React Native移动开发实战》1,2、《Kotlin入门与实战》《Weex跨平台开发实战》、《Flutter跨平台...

    5.4k 声望
    15.2k 粉丝
    0 条评论
    得票最新
    推荐阅读
    深入理解 Rollup 的插件机制
    上一节我们学会了 Rollup 构建工具的使用,相信你已经对 Rollup 的基础概念和使用有了基本的掌握。同时我们也知道,仅仅使用 Rollup 内置的打包能力很难满足项目日益复杂的构建需求。对于一个真实的项目构建场景...

    xiangzhihong阅读 561

    学会这些 Web API 使你的开发效率翻倍
    随着浏览器的日益壮大,浏览器自带的功能也随着增多,在 Web 开发过程中,我们经常会使用一些 Web API 增加我们的开发效率。本篇文章主要选取了一些有趣且有用的 Web API 进行介绍,并且 API 可以在线运行预览。C...

    九旬13阅读 1.6k

    封面图
    终于卷完了!Redis 打怪升级进阶成神之路(2023 最新版)!
    是一种非关系型数据库服务,它能解决常规数据库的并发能力,比如传统的数据库的IO与性能的瓶颈,同样它是关系型数据库的一个补充,有着比较好的高效率与高性能。专注于key-value查询的redis、memcached、ttserver。

    民工哥13阅读 1.2k

    封面图
    花了几个月时间把 MySQL 重新巩固了一遍,梳理了一篇几万字 “超硬核” 的保姆式学习教程!(持续更新中~)
    MySQL 是最流行的关系型数据库管理系统,在 WEB 应用方面 MySQL 是最好的 RDBMS(Relational Database Management System:关系数据库管理系统)应用软件之一。

    民工哥14阅读 2.1k

    封面图
    疫情已过,2023 我的前端面试记录
    顺利入职。把我最近找工作的心得记录下来。工作交接确定 lastday整理手头工作,相关对接人、交接人放文档中工作交接过渡阶段。做好被咨询者,该拉人拉人,该拉群拉群平时沟通顺畅的同事如果没有 WX 可以加一个属...

    linong11阅读 1.2k

    「持续兼容」微信H5选择照片(图片&视频)及拍照&录像
    做过H5调用手机相册或者拍照的同学可能深有体会,在不同型号手机和不同的浏览器上表现各有差异,实属头疼。由于手机自带浏览器或者第三方浏览器实在太多,结合最近正在做的项目用户群体P90在微信上,文本单从兼容...

    wuwhs6阅读 2.5k

    封面图
    思否 CTO 祁宁:社区问答是激荡高级智慧的头脑风暴
    在祁宁家里,有一套完整的赛车模拟器,他甚至还请人到国外代购了最新的 VR 设备。作为沉浸式赛车游戏发烧友,除了享受速度与激情带来的愉悦感,祁宁在玩的过程中更多的是思考如何将技术能力进行产品化的问题。

    万事ONES6阅读 13k评论 1

    封面图
    avatar

    著有《React Native移动开发实战》1,2、《Kotlin入门与实战》《Weex跨平台开发实战》、《Flutter跨平台...

    5.4k 声望
    15.2k 粉丝
    宣传栏