V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
RunningRabbit
V2EX  ›  Android

安卓 app 接口被盗用了,怎么处理更安全?

  •  
  •   RunningRabbit · 2023-10-07 14:09:05 +08:00 · 9696 次点击
    这是一个创建于 441 天前的主题,其中的信息可能已经有所发展或是发生改变。

    目前的情况: 接口对接了第三方的鉴权服务,需要携带指定的 header 头部才可以请求通过,为了避免轻易破解,接口返回的内容做了 Rc4 加密,但是还是被盗用了,现在怀疑 app 被反编译了,使用的 360 加固,各位大佬有没有用过性价比高的加固服务?或者遇到过类似的问题,如何解决的?

    12 条回复    2023-10-08 09:44:30 +08:00
    exiahan
        1
    exiahan  
       2023-10-07 14:35:52 +08:00
    看你的服务值多少钱,你的用户黏性多大,你能舍得下多少成本了:
    1. 要求登录,单用户做日 Quota 限额,频率限制,加验证码
    2. 注册要用手机号,手机号接入一些过滤服务
    3. 请求 IP 也接入过滤服务
    4. 定期(每周/每日)拉请求量,过高的账户重点监控,人工介入观察
    e.g.......
    murmur
        2
    murmur  
       2023-10-07 14:39:39 +08:00
    风控和用户体验你总得选一个,最后就跟淘宝一样,搜索一次拉一次验证码图片

    首先必须得实名制,不登录禁止使用核心业务
    pws22
        3
    pws22  
       2023-10-07 14:40:57 +08:00
    加固+请求和返回加密用 so 文件,native 调用,代码混淆,逆向过相关的几个 app,这样几种方式可以杜绝好些个了,如果真有足够大的利益来搞的话,也很难
    NessajCN
        4
    NessajCN  
       2023-10-07 15:11:12 +08:00
    学 openai 多验证几遍呗
    hongfs
        5
    hongfs  
       2023-10-07 15:14:08 +08:00
    抖音这类 APP 也可以被盗用接口,我们在自己的能力范围内做到尽可能的好就可以了。
    choochoofly
        6
    choochoofly  
       2023-10-07 15:19:06 +08:00
    无法避免的,现在针对加固,都直接弄个脱壳机直接把 dex dump 出来,除非都弄成 so ,反编译避免不了的
    deng81416754
        7
    deng81416754  
       2023-10-07 16:40:12 +08:00
    360 加固没啥用,在 52pojie 上 有教怎么逆向的,在调用接口上控制频率 次数限制 ip 发现了 直接拉黑 发函
    owen800q
        8
    owen800q  
       2023-10-07 16:49:18 +08:00
    用 flutter 重写,我的 app 之前被人偷接口用,后来用 flutter 重写,接口签名算法一定要在 dart 上写, 至今没被人破解过, flutter 就是天然的 vm, 市面上的 reflutter 根本没屌用
    stuazt
        9
    stuazt  
       2023-10-07 16:51:37 +08:00
    把接口签名/加密的部分放到 native 层做成 so ,并且 native 验证本包的数字签名。
    RunningRabbit
        10
    RunningRabbit  
    OP
       2023-10-07 17:04:12 +08:00
    @pws22
    @stuazt
    @choochoofly 目前相关的加密解密密钥都在 so 文件里面,c++生成的
    SoyaDokio
        11
    SoyaDokio  
       2023-10-07 17:25:53 +08:00   ❤️ 1
    不要考虑技术性方案了,道高一尺魔高一丈没个头。
    要么考虑#1 的设计性方案,要么考虑法律性方案
    RunningRabbit
        12
    RunningRabbit  
    OP
       2023-10-08 09:44:30 +08:00
    @exiahan
    @SoyaDokio 按照这个思路优化下,3Q
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2063 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 01:03 · PVG 09:03 · LAX 17:03 · JFK 20:03
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.