apk安全的一点思考

从普通开发环境来说，思考apk的安全性有以下几点
1、防止二次打包：
  由于android打包过程中系统只要求自签名，不强制要求第三方权威机构签名认证，所以很容易通过解析apk包，修改或者是删除其中存储签名信息的META-INF文件来进行重新签名打包，

解决方案

  在系统安装apk时拿到正确的签名文件，与当前签名文件做对比，是与否进行不同操作

2、防止反编译：GitHub上有很多开源反编译工具，这些工具流程都大同小异：反编译，修改，优化，dex转jar，签名，打包

解决方案

  现在主流的观点是加密apk文件中的.dex文件，然后将解密办法存储到另外一个路径中，然后给程序加一个壳，在运行apk时先运行壳apk，然后取出解密办法解密dex文件运行程序

3、防止恶意篡改：理论上防止二次打包和反编译就能防止恶意篡改apk内容
4、防止动态分析调试：比如在开发工具中拿到调试Log等，

解决方案

  清单文件中或者Gradle设置了debuggable="true"才能调试应用程序，所以发布版中禁止debuggable模式，还要防止第三方人员恶意篡改，可以在代码中做二次检测确保条件是否符合

5、防止模拟器运行apk：模拟器很容易为非法分析apk提供便利

• 模拟器很容易拿到root权限
• 模拟器对应用程序调试条件限定很宽松
• 模拟器的IMEI号并不是真实物理设备
• 模拟器的dev目录下有特殊文件
• 模拟器build信息和真机有差异