APP安全分析之打车软件


发布人:admin分类:网络安全浏览量:23发布时间:2017-12-12

最近发现某款打车软件的APK非常的火,并听说他们进行了非常严密的防护,防止用户进行二次打包。今天我们来分析一下他的安全性到底如何。

经过严密的分析发现:该打车APP(司机版)主要的防护在两个地方

第一个是:登录过程中,通过传递context对象到so库中的方式去拿到apk的签名信息的md5签名信息上传。
第二个是:在主界面中,每次onResume中,调用一个私有类进行校验,如果校验不通过,则弹出“请卸载该软件后再使用~”的提示。迫使点击确定的方式退出app。

首先我们来说第一个校验:本身使用so作为获取签名信息的地方相应的比在java中获取签名信息的方式要安全。但是so获取签名信息必须给底层传递context对象。那么防护弱点也主要在这个context对象的传递上。

在com.sdu.**.net包的c方法中


里面的SecurityLib.getUUID(this.b)便是调用so库的getUUID方法,并传递context。

其中UUID是在so库中通过签名信息换算过来的,this.b是application的getContext。

那么我们在application中添加重写getPackageManager方法,并修改其中的返回值。返回我们自己写的PackageManager。如下

修改其中的getPackageInfo方法,返回我们自己的packageInfo对象。

ChangesSignture方法如下:其中的Signature的值是司机正版的签名信息的MD5值。

通过以上的修改,经过测试。登录过程的校验已经没有任何作用了。

下面我们来说第二个校验:

在com.sdu.**.gui.main包下的MainActivity中

其中checkCheatTool();会进行校验。如果是盗版会弹出提示:“请卸载该软件后再使用”,这种防护更没有安全性可言了。我们只需要把这行代码注释或者删除掉。这个校验就没有任何的作用了。

笔者最后想说:

加密技术,也是一个很是需要深度研究的项目,有兴趣的话可以多看看别人用的加密方式,也可以去研究一些专门提供加密服务的第三方平台,当然,你要是懒省事儿的话也是可以直接用的。

[本文作者:爱加密,]


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21400446(PV) 页面执行时间:92.057(MS)
  • xml
  • 网站地图