移动应用程序和用户数据安全

Question

我的问题是关于在移动应用程序中存储的用户数据，在处理被黑客入侵的固件和被操纵的应用程序的安全问题之后。是否有防止修改应用程序的清单文件和权限的系统？类似这样的事情也会对开发人员的工作有好处。

Answer 1

不，没有这样的机制。

如果您的软件在客户端硬件上运行，客户端可以破坏软件端的任何保护。这可能需要一段时间，可能需要很大的努力，但没有任何软件保护能够永远抵挡能够完全访问硬件的攻击者。

例如，看看索尼在他们的PlayStation 4游戏平台上的保护。它有几层保护:固件加密、内存加密、管理程序、数字签名和数字密钥，即使有了这些保护，也可以在上面运行自定义代码。

更改清单并添加应用程序永远不会使用的功能也没有什么意义。添加功能没有任何意义，除非应用程序代码也被更改。如果攻击者正在重新打包应用程序，它可能会更改清单并使用自己的密钥对应用程序进行签名。

应用程序商店(Google或Application )不会接受这个经过修改的应用程序，但是可以从应用程序商店之外对应用程序进行副业。通常，用户这样做是为了免费获得付费应用程序，而这些用户可能会安装应用程序的恶意副本。