Android本地关键代码安全处理

于 2023-03-20 11:24:02 发布
阅读量498 收藏
点赞数
分类专栏: android 安全 文章标签: android 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fepengwang/article/details/129663479
版权
本文档介绍了一种提高代码安全性的方法,将关键信息如密钥存储在native层,并通过JNI在C/C++中处理。通过签名校验防止反编译和重签名导致的信息泄露。首先,关键信息和算法被下沉到C/C++的so库中,然后创建AAR文件并集成到项目中。在加载so库时,会检查APP的签名,只有校验通过才能访问。此外,还提供了Java和C代码示例来获取和验证签名。
摘要由CSDN通过智能技术生成

一、背景

最近在做代码安全方面的工作,发现一些关键信息如:密钥、加密策略等直接写死在项目代码中,存在代码安全隐患。本文档提供一种示例:把关键信息,保存在native层;并对安装包关联信息进行校验,防止反编译、重签名导致信息泄露的可能。

二、处理方式

  • 关键信息、算法、逻辑下沉;利用C/C++编写,利用JNI方式引用。so库+核心java类,导出aar文件。
  • 导入aar,加载so库过程中对其关联的APP签名进行校验。如果校验通过,才能获取库内部信息。
  • 对C/C++编写的so库进行安全加固,二次防编译。
    在这里插入图片描述

三、关键逻辑

1. 签名校验

1.1 java代码获取签名
 private String getSign1() {
        try {
            //通过PackageManager获取
            PackageManager pm = getPackageManager();
            PackageInfo pi = pm.getPackageInfo(getPackageName(), PackageManager.GET_SIGNATURES);
            Signature[] signatures = pi.signatures;
            Signature signature0 = signatures[0];
            return signature0.toCharsString();
        } catch (Exception e) {
            e.printStackTrace();
            return "";
        }
    }
    
   private String getSign2() {
        try {
            // 下面几行代码展示如何任意获取Context对象,在jni中也可以使用这种方式
            Class<?> activityThreadClz = Class.forName("android.app.ActivityThread");
            Method currentApplication = activityThreadClz.getMethod("currentApplication");
            Application application = (Application) currentApplication.invoke(null);
            PackageManager pm = application.getPackageManager();
            PackageInfo pi = pm.getPackageInfo(application.getPackageName(), PackageManager.GET_SIGNATURES);
            Signature[] signatures = pi.signatures;
            Signature signature0 = signatures[0];
            return signature0.toCharsString();
        } catch (Exception e) {
            e.printStackTrace();
            return "";
        }
    }
1.2 C获取签名
static int verifySign(JNIEnv *env) {
    // Application object
    jobject application = getApplication(env);
    if (application == NULL) {
        return JNI_ERR;
    }
    // Context(ContextWrapper) class
    jclass context_clz = env->GetObjectClass(application);
    // getPackageManager()
    jmethodID getPackageManager = env->GetMethodID(context_clz, "getPackageManager",
                                                   "()Landroid/content/pm/PackageManager;");
    // android.content.pm.PackageManager object
    jobject package_manager = env->CallObjectMethod(application, getPackageManager);
    // PackageManager class
    jclass package_manager_clz = env->GetObjectClass(package_manager);
    // getPackageInfo()
    jmethodID getPackageInfo = env->GetMethodID(package_manager_clz, "getPackageInfo",
                                                "(Ljava/lang/String;I)Landroid/content/pm/PackageInfo;");
    // context.getPackageName()
    jmethodID getPackageName = env->GetMethodID(context_clz, "getPackageName",
                                                "()Ljava/lang/String;");
    // call getPackageName() and cast from jobject to jstring
    jstring package_name = (jstring) (env->CallObjectMethod(application, getPackageName));
    // PackageInfo object
    jobject package_info = env->CallObjectMethod(package_manager, getPackageInfo, package_name, 64);
    // class PackageInfo
    jclass package_info_clz = env->GetObjectClass(package_info);
    // field signatures
    jfieldID signatures_field = env->GetFieldID(package_info_clz, "signatures",
                                                "[Landroid/content/pm/Signature;");
    jobject signatures = env->GetObjectField(package_info, signatures_field);
    jobjectArray signatures_array = (jobjectArray) signatures;
    jobject signature0 = env->GetObjectArrayElement(signatures_array, 0);
    jclass signature_clz = env->GetObjectClass(signature0);

    jmethodID toCharsString = env->GetMethodID(signature_clz, "toCharsString",
                                               "()Ljava/lang/String;");
    // call toCharsString()
    jstring signature_str = (jstring) (env->CallObjectMethod(signature0, toCharsString));

    // release
    env->DeleteLocalRef(application);
    env->DeleteLocalRef(context_clz);
    env->DeleteLocalRef(package_manager);
    env->DeleteLocalRef(package_manager_clz);
    env->DeleteLocalRef(package_name);
    env->DeleteLocalRef(package_info);
    env->DeleteLocalRef(package_info_clz);
    env->DeleteLocalRef(signatures);
    env->DeleteLocalRef(signature0);
    env->DeleteLocalRef(signature_clz);

//获取到安装的APK对应的签名
    const char *sign = env->GetStringUTFChars(signature_str, NULL);
    if (sign == NULL) {
        LOGE("分配内存失败");
        return JNI_ERR;
    }

//    LOGI("应用中读取到的签名为:%s", sign);
    int result_debug = strcmp(sign, SIGN_Debug);
    int result_release = strcmp(sign, SIGN_Release);
    // 使用之后要释放这段内存
    env->ReleaseStringUTFChars(signature_str, sign);
    env->DeleteLocalRef(signature_str);
    if (result_debug == 0 || result_release == 0) { // 签名一致
        return JNI_OK;
    }

    return JNI_ERR;
}
1.3 是否打开APP签名校验
void Java_com_ankerwork_ctool_Security_setCheckSign(JNIEnv *env, jclass clazz, jboolean is_check) {
    unsigned char b = is_check;
    LOGI("/n is_check: %lu  ", b);
    if (b) {
        isCheck = true;
    } else {
        isCheck = false;
    }
}

2. 打包AAR

找到Module对应的Task,执行 执行assembleRelease
如:
在这里插入图片描述

3. 调用

3.1 引入AAR
  1. 将aar拷贝至该Module的libs目录中
  2. 在该Module的build.gradle中补上下面的代码
repositories {
    flatDir {
        dirs 'libs'
    }
}
dependencies {
    compile(name:'XXX', ext:'aar')
}
3.2 Java代码获取签名

参考1.1方法

3.3 c代码中填写签名内容

定义变量如:

static const char *sign = "1111"
3.4 设置是否校验签名
public class Security {
    static {
        System.loadLibrary("selfsecurity");
    }

    public static native String getIjmSecret();
    public static native void setCheckSign(boolean isCheck);
}

Security.setCheckSign(true);//设置校验签名
3.5 获取关键Key
Security.getIjmSecret()

四、参考代码

完整代码链接:https://download.csdn.net/download/fepengwang/87594007

feipengwang6666
关注
专栏目录
Android编码安全规范
03-30
本文档介绍了在Android编码中可能存在的一些安全陷阱,并为此给出了推荐的代码返利。
android应用安全——代码安全android代码混淆)
xyzlmn的专栏
04-15 188
android2.3的SDK开始在eclipse中支持代码混淆功能(理论上java都支持混淆,但关键在于如何编写proguard的混淆脚本,2.3的SDK使用简单的配置就可以实现混淆)。使用SDK2.3后,新建的工程下和之前相比,都会多了一个文件“proguard.cfg”。这个文件就是混淆所需的proguard脚本。在工程的"default.properties"中添加这样一句话“prog...
如何提高Android代码安全性
雨辰专栏
05-14 7656
Android免费培训QQ群(118949422)第二期专题培训 (转载请注明出处,商用请与本人联系) 1. 首先我们思考一个问题,Android中哪些部分需要提高安全性防止被破解,哪些部分无法保证安全?     a) 首先,如果你的应用跟其他人竞争的是创意、用户体验、服务等等偏软的东西,同时是免费的,并没有什么技术难点,要评估一下是否确实需要提高代码安全性。     b) 对于图片、xml文件或者apk文件本身是无法加密的。因为这些文件是由Andriod虚拟机加载和读取,加密后Android虚拟
值得细读!如何系统有效地提升Android代码安全性
11-05 296
众所周知,代码安全Android开发工作中的一大核心要素。   11月3日,安卓巴士全球开发者论坛线下系列沙龙第七站在成都顺利举办。作为中国领先的安卓开发者社区,安卓巴士近年来一直致力于在全国各大城市举办线下技术大会,为Android开发者提供最为全面深入的安全技术解读。 网易云易盾移动安全专家尹彬彬指出,安全开发能有效降低开发者维护成本 网易云易盾移动安全专家尹彬彬也受邀参加了此次...
Android代码安全那些事
oHaoJiuBuJian1234567的博客
10-18 739
Android代码安全那些事作为一个正经八百的IT码农,我们有很多途径可以提高我们的“码农”能力,比如说,看书,比如说,浏览技术网站,比如说多写代码。其实根据我的经验呢,还有一种方式–读别人的代码。大家都知道啊,我们中国人,有个能力挺厉害的,你们猜是啥?读代码也是有很多途径,比如说下载下载Demo,读读github的代码,读读同事的代码。其实还有一种方式的,反编译商业软件。(不要学坏噢。)所以说,
Android 本地预览Excel,Word,PPT,PDF 源代码
05-17
这个“Android本地预览Excel,Word,PPT,PDF源代码”项目提供了解决这一需求的解决方案。它允许用户在不离开应用程序的情况下,在Android设备上预览这些常见办公格式的文件。 首先,我们要关注的是“asposed转Excel...
android本地视频播放器所有源代码
01-22
本项目"android本地视频播放器所有源代码"提供了一个完整的解决方案,包含播放记录管理、用户交互控制以及视频过滤等功能,是学习和开发此类应用的良好参考资料。 首先,我们关注的是播放器的核心功能——视频解码...
Android 本地日志记录
04-25
总的来说,Android本地日志记录是开发者诊断问题、优化应用的关键工具。通过自动记录崩溃信息和设备信息,我们可以快速定位问题;通过手动添加Log,我们可以深入了解代码运行过程;而合理的日志管理策略则保证了日志...
Android开发入门60个小案例+源代码
08-24
你可能需要学习如何读写本地文件、使用SQLite数据库存储数据,或者调用Android的ContentProvider访问外部存储。 通知和服务(Service)也是Android开发的重要部分。案例可能包含创建通知和后台运行的服务,让你理解...
Android打开本地HTML网页AndroidStudio工程.rar
最新发布
03-08
这个"Android打开本地HTML网页AndroidStudio工程.rar"文件很可能包含了一个简单的示例项目,演示如何在Android应用中加载并显示本地HTML文件。这里我们将深入探讨实现这一功能所涉及的关键知识点。 1. **WebView...
Android安全防护之旅---只需要这几行代码Android程序项目变得更加安全
尼古拉斯.赵四的博客
04-07 650
​我们在编码美丽微信公众号已经弄过了很多app了,不管是协议还是外挂,我们都是那么一路走过来了,在操作的过程中也发现了很多问题就是应用不在乎安全问题带来的后果,因为安全始终都是不可忽视的问题,辛辛苦苦写的代码被人看的体无完肤对不起自己也对不起公司,所以如果你做了这几件事至少可以防止一些人把你的app给无情的强奸了。本文就来总结一下不用加固方式也可以让你的应用变得更加安全可靠。 一、代码资源...
Android安全防护之旅---几行代码Android应用变得更加安全
编码美丽
07-16 1222
我们在编码美丽微信公众号已经弄过了很多app了,不管是协议还是外挂,我们都是那么一路走过来了,在操作的过程中也发现了很多问题就是应用不在乎安全问题带来的后果,因为安全始终...
Android客户端代码保护技术-完整性校验
热门推荐
Liyunlong
09-21 1万+
由于Android系统固有的缺陷、Android应用分发渠道管理机制等问题,导致Android客户端程序很容易被反编译篡改/二次打包,经任意签名后可在各个渠道或论坛中发布,这不仅损害了开发者的知识产权,更可能威胁到用户的敏感信息及财产安全,因此客户端程序自身的安全性尤为重要,本文以客户端完整校验为主题,提供几种Android客户端完整性校验的实现思路,供广大开发者参考。思路1:对classes.d
Android开发:使用JNI读取应用签名
kongyanmin的专栏
12-28 906
为了防止被反编译,打算把关键代码写到so里(比如加解密),在so里加上判断APk包签名是否一致的代码,避免so被二次打包。其实用JNI读签名就是用了Java的反射机制。 先看Java读取签名的方法: try { PackageInfo info = context.getPackageManager().getPackageInfo(context.getPackageName(), 6
Android获取32位应用签名及如何判断该签名为debug还是release
luohai859的专栏
03-27 6942
1、如何获取Android的应用程序签名信息? 2、如何判断该签名是属于debug签名还是release签名? 进入正题: 1、获取应用的签名信息: 相信这个大家见过好多,即使不会的,也可百度得到,但是大部分度娘得到的答案你试验过之后会发现好多坑,通过以下这种方式得到的签名是一个非常长串的字符,和我们平常在第三方平台填的应用签名是不一样的,第三方平台填的签名信息是32位的。
Android如何把签名校验做到极致
qq_40948137的博客
04-19 6024
为何你的应用老是被破解,该如何有效的做签名校验? 前言 上一篇发了个简单的NDK实现的签名校验,众所周知,签名校验是防止二次打包最普遍的方式。下面是常见的签名校验方法: /** * 做普通的签名校验 */ private boolean doNormalSignCheck() { String trueSignMD5 = "d0add9987c7c84aeb7198c3ff26ca152"; String nowSignMD5 = ""; try { // 得到签
Android 一种新型签名校验方式
m0_47587308的博客
01-01 934
针对新型过签方式CREATOR置换,这里提供一种校验方式。
通过包名获取签名信息工具及使用方法
博来品
05-28 4289
使用该工具可以通过包名获取apk的签名信息,包括MD5,SHA1和别名等。
Android性能优化:关键策略与本地代码
"Android性能优化和提高涉及到许多方面,包括代码优化、本地代码使用、算法设计、内存管理和适应平台规定。讲座主要由XXXX主讲,分享了关于Android应用性能优化的关键点,强调了在设计阶段就应考虑优化,并提供了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值