前一篇文章写了关于网络数据安全的一点思考,里面有提到一些安全策略,为了防止被轻易破解,Android通常需要把核心代码放到lib.so,并且采用一些方法对APP加固(通常是360、梆梆等第三方方案)。现在就设计一套自己的安全方案。
签名
通常生成一个签名标识请求的合法性,我们可以参考微信支付签名的生成步骤,大致可以用以下伪码实现:
sign = MD5("k1=v1&k2=v2&appid=xxxx&nonce_str=xxx);
后台接收到一个请求时,先验证一下签名,不符合的话可以认为是非法请求,不予处理。
微信的签名算法是公开的,但是appid的值是每个应用向微信申请的,所以如果APP不想办法隐藏这个key,这个sign对于攻击者没任何意义。在上一篇文章提到过,增加破解难度的第一步就是把核心算法放到lib.so里面,这里我们可以设计一个自己的算法并且由C/C++实现,我按照下面的方式生成的签名:
MD5("secret" + "param" + "secret")
其中param是请求的参数,在java层根据自己的规则拼接好传到native层。
加密解密
我们把要加密的内容生成byte数组,把byte数组直接传到native层进行加密。加密解密我们使用AES加密,秘钥全部在native层拼接生成。
混淆函数名
对上面两个功能做个封装,可以生成如下一个类,
public class SecureUtil {
native public static byte[] encryptData(Context context, byte[] data);
native public static byte[] decryptData(Context context, byte[] data);
native public static String getSign(Context context, String data);
}
因为native方法不能混淆,所以它对应的C++函数名根据JNI规则不难得出:
Java_com_dfqin_encrypt_SecureUtil_getSign(JNIEnv *env, jobject instance, jobject context, jbyteArray temp_)
例如安装官方JNI写的demo生成的lib.so拖到反汇编工具里面,如下图可以一眼找到java方法对应的函数
可以采用动态注册函数的方式,把对应的C/C++函数生命为任意名称。如下图是修改后的函数名
防止非法调用
上一篇文章也提到过,你把核心算法封装到lib.so中,虽然破解算法的难度增加了,但是别人可以不破解,直接调用你的lib.so,谁说破解一定要正面刚。像上面我们封装的SecureUtil,其他人拿到lib.so后可以直接调用里面的三个方法,完全不需要关注你怎么生成签名的和怎么加密解密的。为了避免这种尴尬,我们要想办法限制其他人调用我们的lib.so。为了达到这个目的,我们可以在native层读取当前app的packageName,当然其他人可以创建一个包名一样的项目来调用。另外一个办法就是在native层读取当前应用的签名看是否满足要求,因为别人没有我们签名的秘钥,所以这时就很难作假了。
防止动态调试
当我们开发遇到问题时,一个最有效的方法就是调试,直接查看代码运行现场和上下文,很多问题瞬间迎刃而解,反编译动态库时也是,所以如果能防止被动态调试,也就提高了破解难度。网上有很多反调试的方法(当然也有很多破解反调试的方法:`),我们可以定制自己的反调试策略,这里我选择通过ptrace()自己附加线程防止动态调试。
ptrace(PTRACE_TRACEME, 0, 0, 0);
小结
一个简单的加密方案已经完成,虽然这只是个原型,根据自己项目需求改一下基本可以直接用了,代码已经放到github。 如果你对自己技术足够自信,可以自己再实现一套加壳方案。