Android工作整理-apk的安全策略

相关地址

github实例：
https://github.com/zhongcx/SafeTest

参考资料-android_apk安全之完整性校验：
https://blog.csdn.net/u012233285/article/details/62043346?utm_source=blogxgwz2

参考资料-通过apk安装包获取sha1的值：
https://blog.csdn.net/qq_34211554/article/details/79396426

参考资料-iOS安全防护的一些研究---越狱检测,二次打包,反调试：
https://www.jianshu.com/p/9a3c3ae8d017

参考资料-Android Log日志release和debug的区分：
https://blog.csdn.net/lan9ua9e/article/details/81032041

参考资料-重写Android Log的输出，只在debug的时候输出，release 的版本不输出：
https://blog.csdn.net/Kodulf_007/article/details/71898664?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.nonecase&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.nonecase

image.png

01 禁止【电脑模拟器/root环境】

禁止原因：利用模拟器刷单或不确定因素而导致报错率变高。
测试用例：电脑安装《夜神模拟器》，测试是否能正常使用。
修复方案：根据光传感器存在判断是否为模拟器，根据bugly的实现判断root环境

    /**
     * 判断光传感器
     * @return true是模拟器（存在光传感器），false不是模拟器（不存在光传感器）
            */
    public boolean isEmulator() {
        /*判断温度和压力传感器*/
        SensorManager sensorManager = (SensorManager) MainActivity.this.getSystemService(SENSOR_SERVICE);
        assert sensorManager != null;
        Sensor sensor8 = sensorManager.getDefaultSensor(Sensor.TYPE_LIGHT); //光
        return null == sensor8;
    }


    /**
     * 根据bugly的实现判断root环境
     * @return true:是root环境，false:不是root环境
     */
    public boolean checkRoot() {
        boolean var0 = false;
        String[] var1 = new String[]{
                "/su",
                "/su/bin/su",
                "/sbin/su",
                "/data/local/xbin/su",
                "/data/local/bin/su",
                "/data/local/su",
                "/system/xbin/su",
                "/system/bin/su",
                "/system/sd/xbin/su",
                "/system/bin/failsafe/su",
                "/system/bin/cufsdosck",
                "/system/xbin/cufsdosck",
                "/system/bin/cufsmgr",
                "/system/xbin/cufsmgr",
                "/system/bin/cufaevdd",
                "/system/xbin/cufaevdd",
                "/system/bin/conbb",
                "/system/xbin/conbb"};  
        for (String var4 : var1) {
            if ((new File(var4)).exists()) {
                var0 = true;
                break;
            }
        } 
        return Build.TAGS != null && Build.TAGS.contains("test-keys") || var0;
    }

02 禁止【手机截屏/录屏】

禁止原因：登录注册或支付页面输入密码时容易被黑客截屏录屏。
测试用例：在某页面尝试手动截图或录屏
修复方案：在相关页面加禁止截屏/录屏代码

getWindow().addFlags(WindowManager.LayoutParams.FLAG_SECURE);//不允许截屏/录屏
getWindow().clearFlags(WindowManager.LayoutParams.FLAG_SECURE);//允许截屏/录屏

03 禁止【release版本下打印输出日志】

禁止原因：线上的日志被分析造成信息泄露风险。
测试用例：安装Android studio 连接安装了该apk的手机查看代码。
修复方案：默认debuggable就是false关闭的，建议release不要开启

    if(BuildConfig.DEBUG){
        Log.i(MainActivity.this.getClass().getName(), "==测试");
    }

04 禁止【认证信息使用不安全键盘】

禁止原因：黑客们通过反编译这些流行应用，将键盘钩子（监控程序）捆绑嵌入其中，以监控、窃取用户通过键盘输入的各项数据。
测试用例：打开测试工程的apk，使用自定义安全键盘自带防截屏功能，所以即使包被破解加了允许截屏/录屏的代码也没用。
修复方案：使用自定义键盘，并在键盘弹起时加上屏蔽截屏/录屏的代码。
github项目地址：https://github.com/mahuanh/CustomizeKeyboard/invitations
导入使用：https://jitpack.io/#mahuanh/CustomizeKeyboard

        //使用
        EditText et_main_safe_key = findViewById(R.id.et_main_safe_key);
        KeyboardUtil keyboardUtil = new KeyboardUtil(this, findViewById(R.id.ll_main_content));
        keyboardUtil.initKeyboard(MyKeyboardView.KEYBOARDTYPE_Only_Num_Pwd, false, et_main_safe_key);//安全键盘

05 禁止【apk被篡改】

禁止原因：防止被二次打包，添加广告等插件。
测试用例：篡改后的文件要重新打包必然要重新签名，此时apk本身的sha值会改变，根据这个特性掌握两个方法进行测试。
（1）获取apk包的sha值方法，用于比较app内通过代码获取sha值进行比对。
在该目录下打开cmd 或右键Git Bash Here，输入命令 ：shasum ****.apk

image.png

shasum命令测试

渠道及类型	sha值
渠道1-无签名.apk	36ac9eb73a9d2cae0d7f5839aa6ecd723c93c866
渠道1-签名2.apk	18d97ef6043d4549a39d173da8ce76213731c655
渠道1-签名1.apk	271a491e68f99a418ff226d34f06e2521f8d2462
渠道1-签名1-加固1.apk	4446443e1f1ce4ca9d17fc0474e2fb194f2e8e02
渠道2-签名1.apk	e3dfee3b0001c30e273b29144003bbdfdf489667
渠道2-签名1-加固1.apk	dca4ee81ddc72df346f0e7459b21aa0f593ace8d

综上没有重复的，该方法可行。

（2）重新为apk签名的方法(前提是有签名文件)，测试用。假设黑客获取了签名文件和密码。
下载地址：https://7072-production-54a8q-1302064826.tcb.qcloud.la/1592030021017.zip
修复方案：将(1)中生成的哈希值存放到服务器上，然后在我们的代码中从服务器获取进行完整性比较。

    /**
     * 检查当前apk的sha值
     * 建议这里从服务器中获取哈希值然后进行对比校验
     * @return 当前apk的sha值,异常时为空字符串
     */
    public String checkApkSha() {
        String apkPath = getPackageCodePath();
        MessageDigest msgDigest = null;
        try {
            msgDigest = MessageDigest.getInstance("SHA-1");
            byte[] bytes = new byte[1024];
            int byteCount;
            FileInputStream fis = new FileInputStream(new File(apkPath));
            while ((byteCount = fis.read(bytes)) > 0) {
                msgDigest.update(bytes, 0, byteCount);
            }
            BigInteger bi = new BigInteger(1, msgDigest.digest());
            String sha = bi.toString(16);
            fis.close(); 
            Log.i(MainActivity.this.getClass().getName(),"==sha-->"+sha);
            return sha;
        } catch (Exception e) {
            e.printStackTrace();
        }
        return "";
    }

06 禁止【反编译工具】

禁止原因：防止源码泄露获取敏感信息。
测试用例：使用超强反编译，查看源码。
（1）下载地址：https://7072-production-54a8q-1302064826.tcb.qcloud.la/1591940310649.zip
（2）使用方式：win系统解压后，打开jadx-gui.bat文件，选择apk文件即可反编译出源文件。

image.png
修复方案：使用加固/加壳工具，如：360加固、爱加密。