前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >反编译完这些 app ,到底谁的安全等级更能打?

反编译完这些 app ,到底谁的安全等级更能打?

作者头像
陈宇明
发布于 2020-12-16 03:17:53
发布于 2020-12-16 03:17:53
8890
举报
文章被收录于专栏:设计模式设计模式

码个蛋(codeegg) 第 1075 次推文

作者:星星y

链接:https://www.jianshu.com/p/052ce81ac953

前言

Android开发中,apk的安全性是一个重要的关注点。每个app应用对于自身的数据和代码安全做了对应的保护。为了调研和学习市场上各类app它们的安全策略,此次反编译了30款apk来调研学习,加入debuggable和networkSecurityConfig属性(加入Charles证书),回编并签名apk,然后启动它,通过日志,抓包,界面展示来看看不同应用的安全策略。同时针对这些应用用了一个粗糙的分数排名(非专业评分,大家看看就好)。

各参数等级与分数说明

反编译Level
  • L1: 资源无混淆,使用原始ApkTool即可实现反编译,回编成apk。
  • L2(5分): 资源混淆,需要修改ApkTool源码,可通过ApkCrack一键完成编译,添加证书,debug信息,回编签名
  • L3(10分): 资源混淆,ApkCrack无法回编,需要继续修改ApkTool源码适配,需要修改异常命名属性名,文件名,异常图片。最终可以回编成apk
  • L4(20分): 可以反编译,无法回编
启动level
  • L1: 正常启动
  • L2(20分): 无法启动,卡住或闪退
http请求Level
  • L1: http请求,抓包简单
  • L2(5分): https请求,无签名,可以修改请求
  • L3(10分): https请求,有参数签名校验,可以查看请求,无法修改
  • L4(15分): https请求,签名校验,响应加密
  • L5(20分): 无法抓取请求
登录Level
  • L1: 可以登录
  • L2(20分): 无法登录
主界面Level
  • L1: 能进入主界面
  • L2(20分): 不能

效果图

抓包

拼多多

ApkCrack反编译过程

ApkCrackUI一键破解

相关日志
apk安全评分

"-"表示当前最高等级,应用无法启动,默认最高等级。

上面app的排名非权威,非正式,非正确,大家且不必认真对待。

小结

不同类型的应用关注的安全等级与安全策略可能会有所不同,大致可能会有以下一些情况:

  • 请求无签名,可以修改参数,安全等级较低,新闻类应用
  • 关键数据加密,比如腾讯漫画只加密类章节数据
  • 主界面有数据,提示非官方应用(拼多多)
  • 主界面有数据,但是无法登录
  • 主界面提示网络错误,签名校验失败(饿了么)
  • 无法进入主界面,可能卡在闪屏页,可能应用闪退。
  • 应用加固,反编译后无法启动,如自如,我爱我家,贝壳,这类应用数据(房源)都很重要,所以要加固代码。

Apk代码保护

反编译完那些apk发现,不是所有的apk会选择最极致的防破解方式(代码混淆,资源混淆,加固等)。为了兼容性与性能,大部分应用不会选择加固方式保护代码。那么代码保护有哪些套路呢?根据上面的app,会有下面一些方案(可以叠加使用)。

  • 代码混淆(gradle配置minifyEnabled可实现,大部分应用都会实现)
  • 资源混淆(使用AndResGuard之类资源混淆库可实现,这类app用ApkTool是无法实现的,回编apk时会报No resource identifier found for attribute,不过可通过ApkCrack回编)
  • 添加一些不符合规则的文件名,或者错误头的文件(因为apktool回编是通过aapt或者aapt2实现的,不合规的文件命名和文件导致资源编译失败,这些app破解时可能需要继续针对性的修改ApkTool源码,手动或者代码方式处理这些文件和文件名,汇编重新签名,破解时长和难度较高)
  • 签名校验。因为原始的apk签名无法获取,反编译后的apk只能通过自己新生成的签名文件签名。所以,签名信息校验变得至关重要,它会帮你识别官方apk与第三方破解(有可能是恶意)的apk。在启动时做签名校验,可以更具校验结果选择不同的安全策略(闪退,安全模式,文字提醒,网络请求失败等)。
  • 应用加固。如果你的app数据极为重要(独家信息),不能完全通过其他方式比如服务端,或者上面三种方式保证数据安全,最稳妥的就是加固应用了。可以选择阿里(聚安全),腾讯(乐固),360(加固宝)等方式加固自身的应用。
本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-10-19,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 码个蛋 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
『贝壳找房APP』反编译到底有多简单–反编译和调试实践
最近,在朋友圈看到有人发贝壳找房在Appstore上的下载排行榜,已进入前三。于是,我在应用宝上下载了贝壳release apk。
全栈程序员站长
2021/06/11
1.8K0
『贝壳找房APP』反编译到底有多简单–反编译和调试实践
Android应用签名、反编译与防止二次签名
我们自己开发的app签名,就代表着我自己的版权,以后要进行升级,也必须要使用相同的签名才行。签名就代表着自己的身份即keystore。小编所在项目,遇到应用被恶意篡改的情况。新版本客户端加入了在线签名逻辑以及防止二次签名逻辑。小编对相关知识加深了理解,并运用在项目测试中,分享给大家。
用户5521279
2019/06/02
5.5K0
APP安全检测手册
随着运营商新技术新业务的发展,运营商层面对安全的要求有所变化,渗透测试工作将会面临内容安全、计费安全、业务逻辑及APP等方面的挑战。随着运营商自主开发的移动APP越来越多,这些APP可能并不会通过应用市场审核及发布,其中的安全性将面临越来越多的挑战。
FB客服
2020/05/26
4.5K0
apktool的下载,安装,反编译和重新打包
一.环境要求 安装java 1.8 以上 命令行运行 java -version 返回版本大于1.8 如果没有,请安装java 1.8 二.下载与安装 下载apktool_x.x.x.jar到本地 官网下载或者 镜像下载 重命名下载的apktool_x.x.x.jar,改名为apktool.jar 下载脚本并配置 Windows 写个bat脚本放在同一目录下 @echo off java -jar apktool.jar 两个文件放在同一目录,后将该目录添加到您的环境变量系统PATH变量中
小小咸鱼YwY
2020/06/29
7.9K0
app加固_360加固保手机版
答:因为黑客通过反编译APK得到源码后,会在应用中插入代码,获取利益,比如添加广告,盗取用户账号、密码,后台定制活动等。
全栈程序员站长
2022/09/20
6.4K0
【Android 应用开发】 Android APK 反编译 混淆 反编译后重编译
反编译工具 : 总结了一下 linux, windows, mac 上的版本, 一起放到 CSDN 上下载;
韩曙亮
2023/03/27
1.1K0
【Android 应用开发】 Android APK 反编译 混淆 反编译后重编译
常见APP攻击方法攻击原理和防御方法介绍
用户打开安卓手机上的某一应用,这时,恶意软件侦测到用户的这一动作,如果立即弹出一个与该应用类似的界面,拦截了合法的应用,用户几乎无法察觉,该用户接下输入账号、卡密什么的 其实是在恶意软件上进行的,接下来会发生什么就可想而知了。
知识与交流
2023/09/18
1.1K0
常见APP攻击方法攻击原理和防御方法介绍
手把手教你逆向分析 Android 程序
很多人写文章,喜欢把什么行业现状啊,研究现状啊什么的写了一大通,感觉好像在写毕业论文似的,我这不废话,先直接上几个图,感受一下。 第一张图是在把代码注入到地图里面,启动首页的时候弹出个浮窗,下载网络的图片,苍老师你们不会不认识吧? 第二张图是微信运动步数作弊,6不6? ok,那我们从头说起…… 1.反编译 Android 的反编译,相信大家都应该有所了解,apktool、JEB 等工具。 我们先看一下 Apk 文件的结构吧,如下图: 1.META-INF:签名文件(这个是如何生成的后面会提到)。 2.r
腾讯Bugly
2018/03/23
3.4K0
手把手教你逆向分析 Android 程序
Notes|Android 客户端逆向基础知识分享
技术分享,一直都是让人比较无奈的事情。分享的东西对于不感兴趣的童鞋而言,简直枯燥无味,而对于大佬而言,又是关公面前耍大刀。
贺biubiu
2023/05/30
7020
Notes|Android 客户端逆向基础知识分享
android反编译一个app/签名
mprop mprop 临时修改设备的系统调试状态值 [原创]修改ro属性的小工具新版本-170119 利用mprop工具修改当前手机应用都可以调试 [原创]android ro.debuggable属性调试修改(mprop逆向) BDOpener——开启APK调试与备份选项的Xposed模块
tea9
2022/07/16
4330
APP渗透
jeb 安卓反编译工具,用于逆向工程或审计APK文件,可以提高效率减少许多工程师的分析时间,能将Dalvik字节码反编译为Java源代码
用户2700375
2022/06/09
1.2K0
APP渗透
万字长文带你APK反编译&重签名&aab&apks转换
反编译(Decompilation)是将已编译的程序(比如二进制代码)转换回更高级别的编程语言代码的过程。这通常用于理解程序的工作原理,进行软件审计,恢复丢失的源代码,或者进行教学研究。反编译的难度和效果取决于原程序的编译过程中丢失了多少信息(比如变量名、注释等)。
梦无矶小仔
2024/04/18
2K0
万字长文带你APK反编译&重签名&aab&apks转换
App安全二三事
客户端防作弊,是一个很重要,但又很难做好的事情,矛与盾永远是道高一尺,魔高一丈。 为什么要安全 现在几乎所有App都是网络强相关的,客户端展示的很多东西都是通过接口从服务器上获取的,当然,服务器也会接收大量从客户端上传的数据,这两端在进行双向通信的时候,就很容易被第三方截获,导致数据被盗取、接口被盗刷。 App的移动安全主要包括下面几种: 密钥破解,导致本地加密数据被盗取 通信密钥破解,导致接口数据被盗取 伪造接口数据上报 接口签名被破解,导致接口可以被重放攻击 那么归结起来,实际上就是这样几种模式: 代
用户1907613
2018/07/20
8800
解析汽车APP面临的18种攻击风险
近日,顶象发布《车企App安全研究白皮书》。该白皮书总结了目前汽车公司App所面临的主要技术威胁和合规风险,详细分析了这些风险产生的原因,并提供了相应的安全解决方案。
顶象技术
2023/06/12
4380
解析汽车APP面临的18种攻击风险
apktool动态破解apk
那么今天我们就用另外一种方式来破解apk:动态方式,关于动态方式其实很广义的,因为动态方式相对于静态方式来说,难度大一点,但是他比静态方式高效点,能够针对更过的破解范围。当然动态方式很多,所以这里就分为三篇文章来讲解这块: 1、动态方式破解apk前奏篇(Eclipse动态调试smail源码) 2、动态方式破解apk升级篇(IDA动态调试so源码) 3、动态方式破解apk终极篇(应对加固的apk破解方法) 从这三篇文章能够让我们破解一般的apk没有任何问题,不过不能代表能够破解所有的apk,因为没有
xiangzhihong
2018/02/01
2.7K0
apktool动态破解apk
Unity3D 导出的apk进行混淆加固、保护与优化原理(防止反编译)
对于辛辛苦苦完成的apk程序被人轻易的反编译了,那就得不偿失了,这篇文章就是解决Unity打包出来的包进行代码加固和混淆。
iOS Magician
2023/12/01
5070
Unity3D 导出的apk进行混淆加固、保护与优化原理(防止反编译)
【Android 安全】使用 360 加固宝加固应用 ( 加固工具准备 | 生成签名 APK | 加固操作 | 反编译验证加固效果 )
本博客用于记录下 360 加固保 加固应用流程 ; ( 上一次加固还是一年前 , 过程全忘了 o(╥﹏╥)o )
韩曙亮
2023/03/29
5.1K0
【Android 安全】使用 360 加固宝加固应用 ( 加固工具准备 | 生成签名 APK | 加固操作 | 反编译验证加固效果 )
app安全检测
Android API level 16以及之前的版本存在远程代码执行安全漏洞,该漏洞源于程序没有正确限制使用WebView.addJavascriptInterface方法,远程攻击者可通过使用Java Reflection API利用该漏洞执行任意Java对象的方法,就是通过addJavascriptInterface给WebView加入一个JavaScript桥接接口,JavaScript通过调用这个接口可以直接操作本地的JAVA接口。
tea9
2023/03/08
2.8K0
app安全检测
App安全测试——Android APK反编译
我们下载到的Android App 安装包是 Apk文件(Android Application Package) 。通过 Apk 文件,我们也可以得到这个应用的代码和资源文件,对应用进行修改。
清风穆云
2021/08/09
1.8K0
Android逆向分析从入门到深入
学习逆向的初衷是想系统学习Android下的hook技术和工具, 想系统学习Android的hook技术和工具是因为Android移动性能实战这本书. 这本书里用hook技术hook一些关键函数来计算关键函数的调用参数和调用时长, 从而确定性能问题发生的位置和原因. 但目前没有比较系统的讲解hook的书籍, 所以就系统的了解下逆向分析.
用户7118204
2020/03/24
1.4K0
相关推荐
『贝壳找房APP』反编译到底有多简单–反编译和调试实践
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档