摘要:最近發(fā)現(xiàn)打車軟件的非常的火,并聽說(shuō)他們進(jìn)行了非常嚴(yán)密的防護(hù),防止用戶進(jìn)行二次打包。經(jīng)過(guò)嚴(yán)密的分析發(fā)現(xiàn)司機(jī)版主要的防護(hù)在兩個(gè)地方。
最近發(fā)現(xiàn)打車軟件的apk非常的火,并聽說(shuō)他們進(jìn)行了非常嚴(yán)密的防護(hù),防止用戶進(jìn)行二次打包。今天我們來(lái)分析一下他的安全性到底如何(以司機(jī)版為例)。 經(jīng)過(guò)嚴(yán)密的分析發(fā)現(xiàn):司機(jī)版主要的防護(hù)在兩個(gè)地方。 第一個(gè)是:登錄過(guò)程中,通過(guò)傳遞context對(duì)象到so庫(kù)中的方式去拿到apk的簽名信息的md5簽名信息上傳。 第二個(gè)是:在主界面中,每次onResume中,調(diào)用一個(gè)私有類進(jìn)行校驗(yàn),如果校驗(yàn)不通過(guò),則彈出“請(qǐng)卸載該軟件后再使用~”的提示。迫使點(diǎn)擊確定的方式退出app。 首先我們來(lái)說(shuō)第一個(gè)校驗(yàn):本身使用so作為獲取簽名信息的地方相應(yīng)的比在java中獲取簽名信息的方式要安全。但是so獲取簽名信息必須給底層傳遞context對(duì)象。那么防護(hù)弱點(diǎn)也主要在這個(gè)context對(duì)象的傳遞上。
在com.sdu.didi.net包的c 方法中
里面的SecurityLib.getUUID(this.b)便是調(diào)用so庫(kù)的getUUID方法,并傳遞context。
其中UUID是在so庫(kù)中通過(guò)簽名信息換算過(guò)來(lái)的,this.b是application的getContext。
那么我們?cè)赼pplication中添加重寫getPackageManager方法,并修改其中的返回值。返回我們自己寫的PackageManager。如下
修改其中的getPackageInfo方法,返回我們自己的packageInfo對(duì)象。
ChangesSignture方法如下:其中的Signature的值是司機(jī)正版的簽名信息的MD5值
通過(guò)以上的修改,經(jīng)過(guò)測(cè)試。登錄過(guò)程的校驗(yàn)已經(jīng)沒(méi)有任何作用了。
下面我們來(lái)說(shuō)第二個(gè)校驗(yàn):
在com.sdu.didi.gui.main包下的MainActivity中
其中checkCheatTool();會(huì)進(jìn)行校驗(yàn)。如果是盜版會(huì)彈出提示:請(qǐng)卸載該軟件后再使用~”,這種防護(hù)更沒(méi)有安全性可言了。我們只需要把這行代碼注釋或者刪除掉。這個(gè)校驗(yàn)就沒(méi)有任何的作用了。
這種傳統(tǒng)的加密方法已然失效,給大家推薦一個(gè)更安全的加密方式,對(duì)APP進(jìn)行加殼保護(hù),采用這種加密方法即使APP被破解,源碼也不會(huì)暴露,可以有效防止二次打包等惡意破解,目前這種加密服務(wù)是由第三方服務(wù)平臺(tái)提供的,網(wǎng)址:http://www.ijiami.cn/
各位可以去體驗(yàn)加密。
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://specialneedsforspecialkids.com/yun/64108.html
摘要:月日上午,中國(guó)在北京國(guó)家會(huì)議中心召開新聞發(fā)布會(huì),發(fā)布了移動(dòng)應(yīng)用安全檢測(cè)基準(zhǔn),同時(shí)宣布中國(guó)組織架構(gòu)優(yōu)化方案。此次愛加密會(huì)直接參與移動(dòng)應(yīng)用在漏洞分析安全檢測(cè)等方面的基準(zhǔn)制定,共同維護(hù)移動(dòng)應(yīng)用安全。 9月25日上午,OWASP中國(guó)在北京國(guó)家會(huì)議中心召開新聞發(fā)布會(huì),發(fā)布了《移動(dòng)應(yīng)用安全檢測(cè)基準(zhǔn)》,同時(shí)宣布OWASP中國(guó)組織架構(gòu)優(yōu)化方案。愛加密作為小組成員單位,受邀參加此次發(fā)布會(huì),參與應(yīng)用安...
閱讀 3493·2023-04-25 20:41
閱讀 2660·2023-04-25 16:40
閱讀 1433·2021-09-23 11:44
閱讀 1252·2021-09-10 10:51
閱讀 1681·2021-09-07 09:59
閱讀 1642·2019-12-27 12:08
閱讀 552·2019-08-30 15:44
閱讀 3334·2019-08-30 11:08