APK安全性自校验

写在前面

进行apk校验有一种方法是获取apk的md5值，然后再从服务端获取md5与之比较，如果md5值相同就是安全的。不知各位朋友有没想过在服务端获取md5这过程中有可能被人截取篡改呢？所以最好的解决方法是在本地进行自校验。这篇文章将谈谈本地自校验方面的知识和方法，实现在未安装apk之前得知apk是否被修改。多谢各位阅读^_

正文

在介绍apk自校验之前，要先对apk的签名文件有个了解，也就是META-INF文件的下面三个文件

apk签名文件

下面简单介绍这三个文件的作用

1. MANIFEST.MF
   保存了apk所有文件的摘要信息，其中摘要信息是经过SHA-1加密，然后再进行Base64加密所得。

2. CERT.SF
   保存了对MANIFEST.MF文件再进行一次SHA-1并Base64加密的信息，并同时保存了MANIFEST.MF文件的摘要信息。

3. CERT.RSA
   保存了公钥和所采用的加密算法等信息。

好了，了解了apk的签名文件后，就可以进行apk自校验的分析了，主要用到MANIFEST.MF里的信息，思路如下：

1. 读取apk的所有文件
2. 读取MANIFEST.MF里的摘要信息
3. 对apk的所有文件重新进行SHA-1并Base64的加密，得到每个文件的摘要信息
4. 用第2步和第3步得到的信息作比较，如果全部相同代表apk没有被修改，否则被修改了
5. 校验apk的签名文件

好了，思路非常清晰了，下面我们来一步步来实现：

1. 读取apk的所有文件

读取apk文件，并用集合保存所有文件的输入流。代码如下：

    private static Map getInputStream(ZipFile zipFile) throws IOException {
        if(zipFile == null) {
            return null;
        }
        
        Map fileMap = new HashMap();
        Enumeration files = zipFile.entries();
        while(files.hasMoreElements()) {
            ZipEntry entry = files.nextElement();
            String entryName = entry.getName();
            fileMap.put(entryName, zipFile.getInputStream(entry));
        }
        
        return fileMap;
    }

2. 读取MANIFEST.MF里的摘要信息

文件里的保存摘要信息的格式如下：

Name: res/drawable-xxhdpi-v4/ic_launcher.png // 文件名
SHA1-Digest: GVIfdEOBv4gEny2T1jDhGGsZOBo=  // 文件的摘要信息

此处有个坑，就是文件名不一定只占一行，所以要处理好。代码如下：

    String manifestFileName = "META-INF/MANIFEST.MF";
        InputStream in = fileMap.get(manifestFileName);
        if(in == null) {
            throw new FileNotFoundException("can not found file: " + manifestFileName);
        }
        BufferedReader br = new BufferedReader(new InputStreamReader(in));
        HashMap verityMap = new HashMap();
        String line = null;
        while((line = br.readLine()) != null) {
            if(line.startsWith("Name")) {
                String filename = line.substring(line.indexOf(':') + 2); 
                line = br.readLine();
                if(!line.startsWith("SHA1-Digest")) { // 文件名不一定只占一行
                    filename = replaceBlank(filename);
                    line = replaceBlank(line);
                    filename += line;
                    line = br.readLine();
                }
                String digest = line.substring(line.indexOf(':') + 2);
                verityMap.put(filename, digest);
            }
        }
        br.close();
        in.close();

3. 对apk的所有文件进行SHA-1并Base64的加密

    /**
     * 获取SHA1值
     */
    private static byte[] getSha1(InputStream in) {
        if(in == null) {
            return null;
        }
        MessageDigest md = null;
        try {
            md = MessageDigest.getInstance("SHA1");
            byte[] buffer = new byte[4096];
            int len;
            while((len = in.read(buffer)) > 0) {
                md.update(buffer, 0, len);
            }
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            if(in != null) {
                try {
                    in.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
        }
        
        return md.digest();
    }
    
    /**
     * 获取经过SHA1和Base64加密的文件摘要信息
     */
    private static String getShaDigest(InputStream in) {
        byte[] sha1 = getSha1(in);
        byte[] base64 = Base64.encode(sha1, Base64.NO_WRAP);
        try {
            return new String(base64, "ASCII"); // 必须用ASCII格式才会有正确的结果
        } catch (UnsupportedEncodingException e) {
            e.printStackTrace();
        }
        
        return null;
    }

4. 用第2步和第3步得到的信息作比较

    for(String filename : verityMap.keySet()) {     
        InputStream input = fileMap.get(filename);
    if(input == null) {
        throw new FileNotFoundException("can not found file: " + filename);
    }
    String digest = getShaDigest(input);
    if(!checkDigest(verityMap.get(filename), digest)) {
        return false;
    }
    input.close();
}

5. 校验apk的签名文件

大家有没注意到，MANIFEST.MF文件中并没有保存签名文件的摘要信息，所以还需要对签名文件进行验证。而我发现，如果签名文件如果被修改过，获取apk签名信息时会返回null！

    /**
     * 获取apk文件的签名
     */
    public static Signature[] getSignaturesByApkFile(Context context, String apkFilePath) {
        if(apkFilePath == null || apkFilePath.length() == 0) {
            return null;
        }
        
        PackageManager pm = context.getPackageManager();
        PackageInfo pkgInfo = pm.getPackageArchiveInfo(apkFilePath, PackageManager.GET_SIGNATURES);
        if(pkgInfo != null) {
            return pkgInfo.signatures;
        }
        
        return null;
    }

结尾

该方法显然是可行的，但效率并不理想，我试过校验50多M的微博apk，花了12秒，再大一点的，就更糟糕了，但我使用的场景是小apk的，时间几乎是毫秒级的，所以可以使用。如果各位朋友有更好的方法，请告知~

好了，上面的是我个人的理解，难免有错。若有错，欢迎指正。

如果这篇文章对你有帮助的话，不妨点个喜欢呗~

---

源码下载