本文详细介绍了Android应用的安全防护措施,包括签名校验、重要信息加密、混淆字典增强、SO安全性和服务器校验等方面。针对签名校验,提出了多种防范破解的策略,如Application类型校验和另一种签名校验方法。同时强调了对重要信息的加密处理,如使用签名字段防止伪造信息,对本地键值对进行加密,并避免直接使用字符串。文章还提及了混淆字典的优化以提高反编译难度,并提醒开发者注意SO文件的安全性,避免使用布尔类型作为关键返回类型。此外,建议不要将校验逻辑封装到单一方法,而是使用inline等方式分散校验。最后,强调了服务器在安全校验中的重要角色。
private static String getAppSignatureHash(final String packageName, final String algorithm) {
if (StringUtils.isSpace(packageName)) return "";
Signature[] signature = getAppSignature(packageName);
if (signature == null || signature.length <= 0) return "";
return StringUtils.bytes2HexString(EncryptUtils.hashTemplate(signature[0].toByteArray(), algorithm))
.replaceAll("(?<=[0-9A-F]{2})[0-9A-F]{2}", ":$0");
}
对于在 Native 层作签名校验,将上述方法翻译成对应的 JNI 调用即可,这里就不赘述了。
上面是签名校验的逻辑,看似美好,实际上稍微碰到有点破解的经验的就顶不住了。我之前遇到的一种破解上述签名校验的方法是,在自定义 Application 的 onCreate() 方法中读取 APK 的签名并存储到全局变量中,然后 Hook 获取应用签名的方法,并把上述读取到的真实的签名信息返回,以此绕过签名校验逻辑。
2.2 Application 类型校验
针对上述这种破解方式,我想到的第一个方法是对当前应用的 Application 类型作校验。因为他们加载 Hook 的逻辑是在自定义的 Application 中完成的,如果他们的 Application 和我们自己的 Application 类路径不一致,那么可以认定应用为破解版。
不过,这种方式作用也有限。我当时采用这种策略是考虑到有的破解者可能就是用一个脚本破解所有应用,所以改动一下可以防止这类破解者。但是,后来我也遇到一些“狠人”。因为我的软件用了 360 加固,所以如果加固壳工程的 Application 也认为是合法的。于是,我就看到了有的破解者在我的加固包之上又做了一层加固…
2.3 另一种签名校验方法
上述签名校验容易被 Hook 绕过,我们还可以采用另一种签名校验方法。
ARouter 在加载 APT 生成的路由信息的时候,一种方式是获取软件的 APK,然后从 APK 的 dex 中获取指定包名下的类文件。那么,我们是不是也可以借鉴这种方式来直接对 APK 进行签名校验呢?
首先,你可以采用下面的方法获取软件的 APK,
ApplicationInfo applicationInfo = context.getPackageManager().getApplicationInfo(context.getPackageName(), 0);
File sourceApk = new File(applicationInfo.sourceDir);
获取 APK 签名信息的方法比较多
这样,当我们拿到 APK 之后,使用上述方法直接对 APK 的签名信息进行校验即可。
3、对重要信息的加密
上述我们提到了一些常用的加密方法,这里介绍下我在设计软件和系统的时候是如何对用户的重要信息作加密处理的。
3.1 使用签名字段防止伪造信息
首
最低0.47元/天 解锁文章
扫一扫
2414
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
