相关地址
github实例:
https://github.com/zhongcx/SafeTest
参考资料-android_apk安全之完整性校验:
https://blog.csdn.net/u012233285/article/details/62043346?utm_source=blogxgwz2
参考资料-通过apk安装包获取sha1的值:
https://blog.csdn.net/qq_34211554/article/details/79396426
参考资料-iOS安全防护的一些研究---越狱检测,二次打包,反调试:
https://www.jianshu.com/p/9a3c3ae8d017
参考资料-Android Log日志release和debug的区分:
https://blog.csdn.net/lan9ua9e/article/details/81032041
参考资料-重写Android Log的输出,只在debug的时候输出,release 的版本不输出:
https://blog.csdn.net/Kodulf_007/article/details/71898664?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.nonecase&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.nonecase
01 禁止【电脑模拟器/root环境】
禁止原因:利用模拟器刷单或不确定因素而导致报错率变高。
测试用例:电脑安装《夜神模拟器》,测试是否能正常使用。
修复方案:根据光传感器存在判断是否为模拟器,根据bugly的实现判断root环境
/**
* 判断光传感器
* @return true是模拟器(存在光传感器),false不是模拟器(不存在光传感器)
*/
public boolean isEmulator() {
/*判断温度和压力传感器*/
SensorManager sensorManager = (SensorManager) MainActivity.this.getSystemService(SENSOR_SERVICE);
assert sensorManager != null;
Sensor sensor8 = sensorManager.getDefaultSensor(Sensor.TYPE_LIGHT); //光
return null == sensor8;
}
/**
* 根据bugly的实现判断root环境
* @return true:是root环境,false:不是root环境
*/
public boolean checkRoot() {
boolean var0 = false;
String[] var1 = new String[]{
"/su",
"/su/bin/su",
"/sbin/su",
"/data/local/xbin/su",
"/data/local/bin/su",
"/data/local/su",
"/system/xbin/su",
"/system/bin/su",
"/system/sd/xbin/su",
"/system/bin/failsafe/su",
"/system/bin/cufsdosck",
"/system/xbin/cufsdosck",
"/system/bin/cufsmgr",
"/system/xbin/cufsmgr",
"/system/bin/cufaevdd",
"/system/xbin/cufaevdd",
"/system/bin/conbb",
"/system/xbin/conbb"};
for (String var4 : var1) {
if ((new File(var4)).exists()) {
var0 = true;
break;
}
}
return Build.TAGS != null && Build.TAGS.contains("test-keys") || var0;
}
02 禁止【手机截屏/录屏】
禁止原因:登录注册或支付页面输入密码时容易被黑客截屏录屏。
测试用例:在某页面尝试手动截图或录屏
修复方案:在相关页面加禁止截屏/录屏代码
getWindow().addFlags(WindowManager.LayoutParams.FLAG_SECURE);//不允许截屏/录屏
getWindow().clearFlags(WindowManager.LayoutParams.FLAG_SECURE);//允许截屏/录屏
03 禁止【release版本下打印输出日志】
禁止原因:线上的日志被分析造成信息泄露风险。
测试用例:安装Android studio 连接安装了该apk的手机查看代码。
修复方案:默认debuggable就是false关闭的,建议release不要开启
if(BuildConfig.DEBUG){
Log.i(MainActivity.this.getClass().getName(), "==测试");
}
04 禁止【认证信息使用不安全键盘】
禁止原因:黑客们通过反编译这些流行应用,将键盘钩子(监控程序)捆绑嵌入其中,以监控、窃取用户通过键盘输入的各项数据。
测试用例:打开测试工程的apk,使用自定义安全键盘自带防截屏功能,所以即使包被破解加了允许截屏/录屏的代码也没用。
修复方案:使用自定义键盘,并在键盘弹起时加上屏蔽截屏/录屏的代码。
github项目地址:https://github.com/mahuanh/CustomizeKeyboard/invitations
导入使用:https://jitpack.io/#mahuanh/CustomizeKeyboard
//使用
EditText et_main_safe_key = findViewById(R.id.et_main_safe_key);
KeyboardUtil keyboardUtil = new KeyboardUtil(this, findViewById(R.id.ll_main_content));
keyboardUtil.initKeyboard(MyKeyboardView.KEYBOARDTYPE_Only_Num_Pwd, false, et_main_safe_key);//安全键盘
05 禁止【apk被篡改】
禁止原因:防止被二次打包,添加广告等插件。
测试用例:篡改后的文件要重新打包必然要重新签名,此时apk本身的sha值会改变,根据这个特性掌握两个方法进行测试。
(1)获取apk包的sha值方法,用于比较app内通过代码获取sha值进行比对。
在该目录下打开cmd 或右键Git Bash Here,输入命令 :shasum ****.apk
shasum命令测试
| 渠道及类型 | sha值 |
|---|---|
| 渠道1-无签名.apk | 36ac9eb73a9d2cae0d7f5839aa6ecd723c93c866 |
| 渠道1-签名2.apk | 18d97ef6043d4549a39d173da8ce76213731c655 |
| 渠道1-签名1.apk | 271a491e68f99a418ff226d34f06e2521f8d2462 |
| 渠道1-签名1-加固1.apk | 4446443e1f1ce4ca9d17fc0474e2fb194f2e8e02 |
| 渠道2-签名1.apk | e3dfee3b0001c30e273b29144003bbdfdf489667 |
| 渠道2-签名1-加固1.apk | dca4ee81ddc72df346f0e7459b21aa0f593ace8d |
综上没有重复的,该方法可行。
(2)重新为apk签名的方法(前提是有签名文件),测试用。假设黑客获取了签名文件和密码。
下载地址:https://7072-production-54a8q-1302064826.tcb.qcloud.la/1592030021017.zip
修复方案:将(1)中生成的哈希值存放到服务器上,然后在我们的代码中从服务器获取进行完整性比较。
/**
* 检查当前apk的sha值
* 建议这里从服务器中获取哈希值然后进行对比校验
* @return 当前apk的sha值,异常时为空字符串
*/
public String checkApkSha() {
String apkPath = getPackageCodePath();
MessageDigest msgDigest = null;
try {
msgDigest = MessageDigest.getInstance("SHA-1");
byte[] bytes = new byte[1024];
int byteCount;
FileInputStream fis = new FileInputStream(new File(apkPath));
while ((byteCount = fis.read(bytes)) > 0) {
msgDigest.update(bytes, 0, byteCount);
}
BigInteger bi = new BigInteger(1, msgDigest.digest());
String sha = bi.toString(16);
fis.close();
Log.i(MainActivity.this.getClass().getName(),"==sha-->"+sha);
return sha;
} catch (Exception e) {
e.printStackTrace();
}
return "";
}
06 禁止【反编译工具】
禁止原因:防止源码泄露获取敏感信息。
测试用例:使用超强反编译,查看源码。
(1)下载地址:https://7072-production-54a8q-1302064826.tcb.qcloud.la/1591940310649.zip
(2)使用方式:win系统解压后,打开jadx-gui.bat文件,选择apk文件即可反编译出源文件。
修复方案:使用加固/加壳工具,如:360加固、爱加密。
