APP安全分析之打車軟件
責(zé)編:admin |2014-11-08 16:10:43最近發(fā)現(xiàn)某款打車軟件的APK非常的火,并聽說他們進(jìn)行了非常嚴(yán)密的防護(hù),防止用戶進(jìn)行二次打包。今天我們來分析一下他的安全性到底如何。
經(jīng)過嚴(yán)密的分析發(fā)現(xiàn):該打車APP(司機(jī)版)主要的防護(hù)在兩個(gè)地方
第一個(gè)是:登錄過程中,通過傳遞context對(duì)象到so庫中的方式去拿到apk的簽名信息的md5簽名信息上傳。
第二個(gè)是:在主界面中,每次onResume中,調(diào)用一個(gè)私有類進(jìn)行校驗(yàn),如果校驗(yàn)不通過,則彈出“請(qǐng)卸載該軟件后再使用~”的提示。迫使點(diǎn)擊確定的方式退出app。
首先我們來說第一個(gè)校驗(yàn):本身使用so作為獲取簽名信息的地方相應(yīng)的比在java中獲取簽名信息的方式要安全。但是so獲取簽名信息必須給底層傳遞context對(duì)象。那么防護(hù)弱點(diǎn)也主要在這個(gè)context對(duì)象的傳遞上。
在com.sdu.didi.net包的c方法中
里面的SecurityLib.getUUID(this.b)便是調(diào)用so庫的getUUID方法,并傳遞context。
其中UUID是在so庫中通過簽名信息換算過來的,this.b是application的getContext。
那么我們?cè)赼pplication中添加重寫getPackageManager方法,并修改其中的返回值。返回我們自己寫的PackageManager。如下
修改其中的getPackageInfo方法,返回我們自己的packageInfo對(duì)象。
ChangesSignture方法如下:其中的Signature的值是司機(jī)正版的簽名信息的MD5值。
通過以上的修改,經(jīng)過測(cè)試。登錄過程的校驗(yàn)已經(jīng)沒有任何作用了。
下面我們來說第二個(gè)校驗(yàn):
在com.sdu.didi.gui.main包下的MainActivity中
其中checkCheatTool();會(huì)進(jìn)行校驗(yàn)。如果是盜版會(huì)彈出提示:“請(qǐng)卸載該軟件后再使用”,這種防護(hù)更沒有安全性可言了。我們只需要把這行代碼注釋或者刪除掉。這個(gè)校驗(yàn)就沒有任何的作用了。
筆者最后想說:
加密技術(shù),也是一個(gè)很是需要深度研究的項(xiàng)目,有興趣的話可以多看看別人用的加密方式,也可以去研究一些專門提供加密服務(wù)的第三方平臺(tái),當(dāng)然,你要是懶省事兒的話也是可以直接用的。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧