前言
在Android开发中,apk的安全性是一个重要的关注点。每个app应用对于自身的数据和代码安全做了对应的保护。为了调研和学习市场上各类app它们的安全策略,此次反编译了30款apk来调研学习,加入debuggable和networkSecurityConfig属性(加入Charles证书),回编并签名apk,然后启动它,通过日志,抓包,界面展示来看看不同应用的安全策略。同时针对这些应用用了一个粗糙的分数排名(非专业评分,大家看看就好)。
各参数等级与分数说明
反编译Level
- L1: 资源无混淆,使用原始ApkTool即可实现反编译,回编成apk。
- L2(5分): 资源混淆,需要修改ApkTool源码,可通过ApkCrack一键完成编译,添加证书,debug信息,回编签名
- L3(10分): 资源混淆,ApkCrack无法回编,需要继续修改ApkTool源码适配,需要修改异常命名属性名,文件名,异常图片。最终可以回编成apk
- L4(20分): 可以反编译,无法回编
启动level
- L1: 正常启动
- L2(20分): 无法启动,卡住或闪退
http请求Level
- L1: http请求,抓包简单
- L2(5分): https请求,无签名,可以修改请求
- L3(10分): https请求,有参数签名校验,可以查看请求,无法修改
- L4(15分): https请求,签名校验,响应加密
- L5(20分): 无法抓取请求
登录Level
- L1: 可以登录
- L2(20分): 无法登录
主界面Level
- L1: 能进入主界面
- L2(20分): 不能
效果图
抓包
ApkCrack反编译过程
相关日志
apk安全评分
"-"表示当前最高等级,应用无法启动,默认最高等级。
上面app的排名非权威,非正式,非正确,大家且不必认真对待。
小结
不同类型的应用关注的安全等级与安全策略可能会有所不同,大致可能会有以下一些情况:
- 请求无签名,可以修改参数,安全等级较低,新闻类应用
- 关键数据加密,比如腾讯漫画只加密类章节数据
- 主界面有数据,提示非官方应用(拼多多)
- 主界面有数据,但是无法登录
- 主界面提示网络错误,签名校验失败(饿了么)
- 无法进入主界面,可能卡在闪屏页,可能应用闪退。
- 应用加固,反编译后无法启动,如自如,我爱我家,贝壳,这类应用数据(房源)都很重要,所以要加固代码。
Apk代码保护
反编译完那些apk发现,不是所有的apk会选择最极致的防反编译方式(代码混淆,资源混淆,加固等)。为了兼容性与性能,大部分应用不会选择加固方式保护代码。那么代码保护有哪些套路呢?根据上面的app,会有下面一些方案(可以叠加使用)。
- 代码混淆(gradle配置minifyEnabled可实现,大部分应用都会实现)
- 资源混淆(使用AndResGuard之类资源混淆库可实现,这类app用ApkTool是无法实现的,回编apk时会报No resource identifier found for attribute,不过可通过ApkCrack回编)
- 添加一些不符合规则的文件名,或者错误头的文件(因为apktool回编是通过aapt或者aapt2实现的,不合规的文件命名和文件导致资源编译失败,这些app反编译时可能需要继续针对性的修改ApkTool源码,手动或者代码方式处理这些文件和文件名,回编重新签名,时长和难度较高)
- 签名校验。因为原始的apk签名无法获取,反编译后的apk只能通过自己新生成的签名文件签名。所以,签名信息校验变得至关重要,它会帮你识别官方apk与第三方(有可能是恶意)的apk。在启动时做签名校验,可以更具校验结果选择不同的安全策略(闪退,安全模式,文字提醒,网络请求失败等)。
- 应用加固。如果你的app数据极为重要(独家信息),不能完全通过其他方式比如服务端,或者上面三种方式保证数据安全,最稳妥的就是加固应用了。可以选择阿里(聚安全),腾讯(乐固),360(加固宝)等方式加固自身的应用。
