有客户对某直播app的协议算法有需求,需要把协议中加密参数的生成算法搞出来。简单的从需求上来看,难度应该不大。花了点时间,死了点脑细胞,还熬了点夜,至今,事情终于快要了结了。
安全环境的建立
这个直播app的设计人员在安全上还是花了一番心思的,给客户端设计了这样一个安全屏障:
可以看到整个app使用了RSA/AES/自定义算法这样几种加密算法,而这样一种通过RSA算法获取服务端下发的AES算法加密Key值,并在随后的通信过程中使用AES算法对数据进行保护的做法,也是业界较为常规且兼顾安全与效率的做法。同时该app为了进一步提高数据的安全门槛,更是设计了自己的一套数据置换算法,虽然在我看来这套算法没什么用,但它的确需要消耗逆向人员的部分时间与精力。
安全上的一点感悟
客户端开发人员花了不少心思建立了上面一整套安全屏障,但对于逆向人员来说,有非常多的手段切入到这个屏障之后,一一瓦解每一个安全措施,最后导致整个屏障的完全失控。
该app在被我逆向分析到其http通信数据使用aes加密,再通过其实现头文件里的一个函数便可立即获取到APP中正在使用的明文AES加密key值。
通过Charles进一步的分析其与服务器间的通过协议,便可很容易的模拟出该app的具体行为,包括用户登陆、加好友、关注等。到此可以得出这样一个结论,该app的安全仅仅只限于客户端,服务端竟然连最基本的数据异常行为检测都没有。
安全绝不仅仅是客户端的事,服务端应承担起比客户端更多的责任!因为客户端本身就处在一个不值得信任的环境里,其上报的所有数据首先就应该被视为可疑的。其数据只有通过服务端的可靠性检测之后才能够用于具体的业务。很遗憾上面那个直播类app服务端检测手段基本等于零。
技术上的一点认识
整理逆向的代码时肯定使用自己最为熟悉的语言Object-C了,无奈该语言的使用范围实在有限,后来不得不将之转成C/C++代码。随之有了后面OC语言跨平台编译的尝试。
GNUstep是OC语言跨平台编译的选择之一,它提供了在linux平台上使用Object-c语言的能力。但在实际使用过程中才发现,它有自己的一套底层逻辑实现,而在API层面上,提供了基本能够满足使用需求的api实现。注意这里说的是基本能够满足需求,实际上还是有很大差距的,也许一个很简单的一苹果api实现,在它这里就没有支持,我们只能变通的使用其它方式实现该api的功能。
GNUstep可以做为学习语言的工具,可以做实现大型项目的技术方案,但不能做为日常工作的技术方案,否则会搞到你生活不能自理的!
广告
这个直播app的全套加密算法已经被编译成so文件,有需要的朋友私下联系我,如果不清楚这个app具体指的是什么,看下图自然明白这是什么。
