问下安卓如何防止 root 下抓包， app 接口请求并没有做加密措施

要改接口的话，加密每一个接口改动比较多，隐私整改需要快速上线

SenLief

2021-09-16 18:16:39 +08:00

解锁了 root 的手机不能运行。

rbq123456

2021-09-16 18:21:27 +08:00

可以在 app 内加入一个 https 证书，不信任系统证书。

ch2

2021-09-16 18:23:41 +08:00

安卓处处都有内鬼，IOS 越狱了也一样，frida 了解一下
除非你自己搞 tcp 协议+非常恶心人的加密方法

1018ji

2021-09-16 18:24:30 +08:00

双向认证先整下

后端限制下 IP，弹验证中心

SenLief

2021-09-16 18:24:50 +08:00

@MoeMoesakura 那就没啥办法了，抓包模拟的也算是正常的操作，这怎么识别。除非不认可系统的证书。

PMR

2021-09-16 18:26:03 +08:00

写死证书 hash 不对应不连接

不方便证书迭代

AoEiuV020

2021-09-16 18:26:45 +08:00

不可能的，无论如何实在不行人家也可以在路由器抓包，

locoz

2021-09-16 18:27:53 +08:00

你要说防非 root 环境下的抓包还可以，root 环境下的抓包你就别做梦了，随便就干翻...即使是腾讯维纳斯那种外面套层私有协议的做法，也只能是缓解一下，真要搞的话花点时间一样能搞。

zoharSoul

2021-09-16 18:30:31 +08:00

不可能, 人家大不了在路由器抓

XiLingHost

2021-09-16 18:31:17 +08:00

每次会话从服务端生成一个代理解密的一次性二进制文件，写死证书哈希

deplivesb

2021-09-16 18:36:06 +08:00

除非你只信任特定的证书，连系统证书都不信任，否则无解吧

ctro15547

2021-09-16 19:04:23 +08:00

没加密想抓总有办法的建议加班加密

est

2021-09-16 19:06:40 +08:00

> app 接口请求并没有做加密措施

就这一条就已经死刑了。别想办法了。建议放弃。不用 root 都能直接抓

starsky007

2021-09-16 19:35:58 +08:00

没人关注楼主用途吗？什么“隐私整改”？

deavorwei

2021-09-16 19:45:45 +08:00

电脑开热点给手机不就能抓了 ~

jim9606

2021-09-16 19:47:23 +08:00

哪家隐私整改会要求这个，上 https 不就完了？

yolee599

2021-09-16 19:49:50 +08:00

手机抓不了还能直接在路由器抓

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/802359

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.