这是一个创建于 1443 天前的主题,其中的信息可能已经有所发展或是发生改变
大家使用 flutter 的大部分原因应该是跨平台,但是我认为 flutter 还有一个大的优点就是安全性。
根据本人分析 relese 版本(debug 版本比较简单,自带源码)的 apk 文件
单是还原出具体的类文件都难以做到,而且由于 dart vm 的存在,等于自带 apk VMP 。
这让什么 hook 动态调试甚至抓包都有点难以做到。(当然我不是说 flutter 不能分析,只是没有现成的通用工具去分析,如果硬要看只能人肉汇编器了。)
为了提高安全性我们可以自行编译 flutter 引擎做到
- 去掉魔数,避免别人知道你的编译版本
- 更换类文件 数据 function code 的解析顺序,让别人无法通过通用引擎源码反解析你的工程
- 混淆掉快照数据和快照文件的导出函数名字
- 添加 ollvm 等技术让工程变得更加花里胡哨难以反编译
因为发现相当一部分黑灰黄软件已经使用上了这种技术,导致我们日常的安全工作有点难以开展。反过来说,如果你们想保护自己的工程源码,可以选择 flutter 这项技术。
 | 1 huruwo OP 这些都是我个人分析得出的,如果有不同意见可以发出来讨论。 |
| 2 huruwo OP 大家不要光收藏,来点观点讨论。我个人认为 flutter 的安全性至少在目前是没问题的。 |
 | 3 MonkeyD1 2021-12-13 11:46:28 +08:00 意思谁不安全? |
 | 4 murmur 2021-12-13 11:49:05 +08:00 用的人少当然安全,不就是自己编虚拟机执行代码么,这 app 都玩出花的,业务代码落到 c 和 jni 都是多早的设计了 |
| 5 murmur 2021-12-13 11:50:16 +08:00 而且你以为你的技术很重要,别人看一眼找个团队就扒过来,然后大厂用更多的资源和推广干掉你的市场 目前来看单从前端来看,还没有那种求之不得的技术,真的是牛逼的技术都落在后端了 最近看个新闻,很多人吹什么技术牛逼的抖音,图形算法居然是抄的 |
| 6 murmur 2021-12-13 11:51:20 +08:00 顺便提一嘴,自编虚拟机这玩法在 lua 年代就有了 |
| 7 huruwo OP @murmur 是的 java2c vmp 都是很早的技术,但是使用起来有点门槛。flutter 封装好的技术可以直接用,而且他还可以跨平台。我觉得比起 uni-app 那种跨平台方案要好一点。 |
| 8 huruwo OP  1 @murmur 我这里只单纯从技术来讲这个东西的安全性,你要落实到市场行为那就没法讨论了。但是我个人认为软件的安全性是一个值得考虑的东西。 你这里完全否定掉技术的意义我觉得有点过分 |
| 9 huruwo OP @murmur 当然 安全性后端才是重中之重,比如最近的 log4j2 这种漏洞出现也是麻烦的事情。被大厂抄袭被垄断这些都是后面的事情了。况且腾讯微视对标字节抖音也没赢吧 |
 | 10 lap510200 2021-12-13 14:58:36 +08:00 都跨平台了 说明公司不愿花钱或者是外包 Flutter 难用 uniapp 有点 vue 水平就足够了 ,要安全性不如招人原生开发,流畅性和兼容性还更好 |
 | 11 sunbreak 2021-12-13 15:28:06 +08:00 Flutter 逆向资料不多,还是有一些,不是专业做安全的,不好评价 |
| 12 sunbreak 2021-12-13 15:28:13 +08:00 |
 | 14 letitbesqzr 2021-12-15 09:16:58 +08:00 感觉和 wasm 一样... 前几年很多在前端使用 wasm 来进行加密,非常难破解。但这两年来,破解的案例和文章就多很多了,还是因为调试工具多了,更好用了。。 |
| 15 huruwo OP @letitbesqzr 是的,时间到了利益关系肯定会出现工具的。至少目前不用担心安全问题 |
 | 16 2384036992 2022-04-27 14:06:52 +08:00 说的不错啊,有没有具体的实操教程啊,谢谢你 |
Select Language