反编译完这些app后,我给它们的安全等级打个分

5,647 阅读4分钟

前言

在Android开发中,apk的安全性是一个重要的关注点。每个app应用对于自身的数据和代码安全做了对应的保护。为了调研和学习市场上各类app它们的安全策略,此次反编译了30款apk来调研学习,加入debuggable和networkSecurityConfig属性(加入Charles证书),回编并签名apk,然后启动它,通过日志,抓包,界面展示来看看不同应用的安全策略。同时针对这些应用用了一个粗糙的分数排名(非专业评分,大家看看就好)。

各参数等级与分数说明

反编译Level

  • L1: 资源无混淆,使用原始ApkTool即可实现反编译,回编成apk。
  • L2(5分): 资源混淆,需要修改ApkTool源码,可通过ApkCrack一键完成编译,添加证书,debug信息,回编签名
  • L3(10分): 资源混淆,ApkCrack无法回编,需要继续修改ApkTool源码适配,需要修改异常命名属性名,文件名,异常图片。最终可以回编成apk
  • L4(20分): 可以反编译,无法回编

启动level

  • L1: 正常启动
  • L2(20分): 无法启动,卡住或闪退

http请求Level

  • L1: http请求,抓包简单
  • L2(5分): https请求,无签名,可以修改请求
  • L3(10分): https请求,有参数签名校验,可以查看请求,无法修改
  • L4(15分): https请求,签名校验,响应加密
  • L5(20分): 无法抓取请求

登录Level

  • L1: 可以登录
  • L2(20分): 无法登录

主界面Level

  • L1: 能进入主界面
  • L2(20分): 不能

效果图

抓包

拼多多

快手

ApkCrack反编译过程

ApkCrackUI

相关日志

log

apk安全评分

"-"表示当前最高等级,应用无法启动,默认最高等级。

apk安全评分

上面app的排名非权威,非正式,非正确,大家且不必认真对待。

小结

不同类型的应用关注的安全等级与安全策略可能会有所不同,大致可能会有以下一些情况:

  • 请求无签名,可以修改参数,安全等级较低,新闻类应用
  • 关键数据加密,比如腾讯漫画只加密类章节数据
  • 主界面有数据,提示非官方应用(拼多多)
  • 主界面有数据,但是无法登录
  • 主界面提示网络错误,签名校验失败(饿了么)
  • 无法进入主界面,可能卡在闪屏页,可能应用闪退。
  • 应用加固,反编译后无法启动,如自如,我爱我家,贝壳,这类应用数据(房源)都很重要,所以要加固代码。

Apk代码保护

反编译完那些apk发现,不是所有的apk会选择最极致的防反编译方式(代码混淆,资源混淆,加固等)。为了兼容性与性能,大部分应用不会选择加固方式保护代码。那么代码保护有哪些套路呢?根据上面的app,会有下面一些方案(可以叠加使用)。

  • 代码混淆(gradle配置minifyEnabled可实现,大部分应用都会实现)
  • 资源混淆(使用AndResGuard之类资源混淆库可实现,这类app用ApkTool是无法实现的,回编apk时会报No resource identifier found for attribute,不过可通过ApkCrack回编)
  • 添加一些不符合规则的文件名,或者错误头的文件(因为apktool回编是通过aapt或者aapt2实现的,不合规的文件命名和文件导致资源编译失败,这些app反编译时可能需要继续针对性的修改ApkTool源码,手动或者代码方式处理这些文件和文件名,回编重新签名,时长和难度较高)
  • 签名校验。因为原始的apk签名无法获取,反编译后的apk只能通过自己新生成的签名文件签名。所以,签名信息校验变得至关重要,它会帮你识别官方apk与第三方(有可能是恶意)的apk。在启动时做签名校验,可以更具校验结果选择不同的安全策略(闪退,安全模式,文字提醒,网络请求失败等)。
  • 应用加固。如果你的app数据极为重要(独家信息),不能完全通过其他方式比如服务端,或者上面三种方式保证数据安全,最稳妥的就是加固应用了。可以选择阿里(聚安全),腾讯(乐固),360(加固宝)等方式加固自身的应用。