对某银行旗下金融APP进行全面的逆向分析与安全评估。使用Frida和Objection框架进行动态Hook分析,通过脱壳和内存dump技术还原了核心加密逻辑和通信协议。对APK文件进行静态分析,包括AndroidManifest配置检查、Smali代码审计、SO库逆向分析等。
发现的主要安全问题包括:SSL Pinning实现可绕过、WebView远程代码执行风险。所有发现均提供详细的利用验证步骤和修复建议,协助开发团队在两周内完成全部修复。
使用工具:JADX、IDA Pro、Frida、Objection、BurpSuite、Xposed等。