Android App 如何防止抓包方法及分析

更新时间：2023年06月01日 09:30:51 作者：xiangzhihong

这篇文章主要为大家介绍了Android App如何防止抓包的方法及分析，有需要的朋友可以借鉴参考下，希望能够有所帮助，祝大家多多进步，早日升职加薪

引言

在软件开发中，常用的抓包方式有 Charles 、 Fiddler和Burp，它们通过在手机网络中添加代理的方式，然后安装信任证书，接着就可以在 App 请求的时候拿到请求数据。不过，这也可能导致一些安全问题，所以对于我们通常的处理方式是，对于线上运行的包，需要防止这些抓包手段。

1，使用无代理 Proxy.NO_PROXY

在Android开发中，大部分的App的网络请求都是基于charles 和 fiddler 来进行抓包的，对网络客户端使用无代理模式即可防止抓包，代码如下。

OkHttpClient.Builder()
            .retryOnConnectionFailure(true)
            .proxy(Proxy.NO_PROXY)
            .sslSocketFactory(ssl, trustManager)
            .build()

通常情况下上述的办法有用，但是无法防住使用 VPN 导流进行的抓包（ Drony + Charles），使用VPN抓包的原理是，先将手机请求导到VPN，再对VPN的网络进行Charles的代理，绕过了对App的代理。

2，使用证书校验

此种方式可以有效的防止抓包，需要在App端嵌入证书，下面是证书校验的一些说明：

下面是使用Okhttp配合X509TrustManager对服务器证书进行校验的逻辑：如果服务器证书的 subjectDN 和嵌入证书的 subjectDN 一致，我们再进行签名内容 signature 的比对，如果一致则说明合法，否则是不合法的，不进行链接操作。
首先，我们需要从本地读出证书，获取一个X509Certificate。

val myCrt: X509Certificate by lazy {
    getCrt(R.raw.my_ca)
}
private fun getCrt(@RawRes raw: Int): X509Certificate {
    val certificateFactory = CertificateFactory.getInstance("X.509")
    val input = ApplicationContext.resources.openRawResource(raw)
    input.use {
        return certificateFactory.generateCertificate(input) as X509Certificate
    }
}

然后，检查服务器证书时对比嵌入的证书是否合法。

private fun getTrustManagerInRelease(): X509TrustManager {
    return object : X509TrustManager {
        override fun checkClientTrusted(chain: Array<X509Certificate>, authType: String?) {}
        override fun getAcceptedIssuers(): Array<X509Certificate> = arrayOf()
        override fun checkServerTrusted(chain: Array<X509Certificate>, authType: String?) {
            val myCrt: X509Certificate = myCrt
            if (chain[0].subjectDN.name == myCrt.subjectDN.name) {
                if (!myCrt.signature!!.contentEquals(chain[0].signature)) {
                    throw SSLHandshakeException("签名不符！")
                }
            }
        }
    }
}

最后，在每次请求前将自定义的 SSLSocketFactory 和 X509TrustManager 填充到Okhttp 客户端中。

private fun getClient(ssl: SSLSocketFactory, trustManager: X509TrustManager): OkHttpClient {
        return OkHttpClient.Builder()
            .retryOnConnectionFailure(true)
            .proxy(Proxy.NO_PROXY)
            .sslSocketFactory(ssl, trustManager)
            .build()
    }

经过上面的操作后，就基本解决了 Drony + Charles 抓包问题。不过为了安全，很多的银行类和支付类应用还会进行双证书的校验。

以上就是Android App 如何防止抓包方法及分析的详细内容，更多关于Android App防止抓包的资料请关注脚本之家其它相关文章！

您可能感兴趣的文章:

flutter实现底部抽屉效果
这篇文章主要为大家详细介绍了flutter实现底部抽屉效果，文中示例代码介绍的非常详细，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2022-03-03
使用kotlin实现MVP的方式(简单好用)
这篇文章主要介绍了使用kotlin实现MVP的方式(简单好用)，具有很好的参考价值，希望对大家有所帮助。一起跟随小编过来看看吧
2020-03-03
Android android:exported = true 用法详解
在本篇文章里小编给大家整理了关于Android android:exported = true 用法，需要的朋友们参考下。
2019-09-09
Android编程实现自动检测版本及自动升级的方法
这篇文章主要介绍了Android编程实现自动检测版本及自动升级的方法,涉及Android版本检测,匹配,下载及自动安装等技巧,需要的朋友可以参考下
2016-01-01
Android中LinearLayout布局的常用属性总结
这篇文章主要介绍了Android中LinearLayout布局的常用属性总结,包括居中、重心、比例等线性布局中的基本设置,需要的朋友可以参考下
2016-04-04
Android微信签名知识的总结
这篇文章给大家详细总结了Android微信签名用到的知识，文中通过具体的实现过程给大家进行演示，相信对大家的理解很有帮助，下面来一起看看吧。
2016-09-09
Android 获取IP地址的实现方法
这篇文章主要介绍了Android 获取IP地址的实现方法的相关资料,这里提供了具体实现的方法及代码，使用WIFI 和GPRS的思路，需要的朋友可以参考下
2016-11-11
Android中父View和子view的点击事件处理问题探讨
当屏幕中包含一个ViewGroup，而这个ViewGroup又包含一个子view，这个时候android系统如何处理Touch事件呢,接下来将对此问题进行深入了解，感兴趣的朋友可以了解参考下，或许对你有所帮助
2013-01-01
Android Loader详细介绍及实例代码
这篇文章主要介绍了Android Loader详细介绍及实例代码的相关资料,需要的朋友可以参考下
2016-12-12
android事件分发机制的实现原理
本篇文章主要介绍了android事件分发机制的实现原理，小编觉得挺不错的，现在分享给大家，也给大家做个参考。一起跟随小编过来看看吧
2017-09-09