Android 应用防止被二次打包指南

二次打包问题只是Android应用安全风险中的一部分， 一般是通过反编译工具向应用中插入广告代码与相关配置，再在第三方应用市场、论坛发布。

对于打包党对于移动App带来的危害有以下几种：

1. 插入自己广告或者删除原来广告；

2. 恶意代码, 恶意扣费、木马等；

3. 修改原来支付逻辑。

上述恶意行为严重危害移动产品和用户利益，同时也影响企业口碑。

关于移动App破解、数据泄露风险问题，以金融行业为例：众所周知数据是金融类应用产品重要资源之一，关乎企业生存与发展、但移动应用经常被破解、数据被抓包，导致本地存储数据以及用户名、密码等重要信息泄露。下面举例说明数据泄露案例。

金融类本地存储数据泄漏

数据抓包，泄漏用户名和密码

如何解决移动App安全风险问题？

基于多年的移动安全经验积累，网易云易盾在移动APP安全风险问题上，从起始的开发阶段、中间的测试阶段再到结尾发布阶段，针对移动APP全生命周期进行安全防护。

开发阶段——移动应用开发时接入安全组件，保护数据安全。其中，针对安全通信方面，实现数据高强度加密，结合传统的对称、非对称加密算法和hash算法，客户端加密数据只有认证服务端才能解密，从而防止了数据泄漏、数据窃取和篡改。另外，为了实现加强数据的安全强度，安全组件结合自适应特征算法和随机切换算法，保证不同时间、不同终端的算法和密钥的差异性。

测试阶段——对移动应用进行人工渗透测试，发现漏洞解决产品修复相关问题，包括：APP渗透测试和服务端渗透测试。

发布阶段——APP上架之前针对应用做安全加固，提高安全防护等级，上架之后做盗版监测。网易云易盾可针对dex文件进行加固防护，防止被静态反编译获取代码逻辑；保护应用在被非法二次打包后不能正常运行；防止通过使用调试器工具对应用进行非法破解；提供自研高稳定的设备指纹，防止潜在的刷单风险；加密资源文件，防止apk资源文件被破解；对so文件进行加固保护，防止native代码被逆向分析；对游戏提供加固保护，让游戏免受破解、外挂等威胁。

Android 应用加固的技术细节

此外，针对如何加固的技术细节问题，网易云资深安全工程师钟亚平在安卓巴士全球开发者论坛的活动中也做过《安卓App逆向与保护》的主题演讲：

安卓App安全包含很多内容，包括混淆代码、整体Dex加固、拆分 Dex 加固、虚拟机加固等方面。事实上，这些内容也是国内近几年And