Android系统的安全性历来备受诟病,在强大的反编译工具下,APK中的代码逻辑一览无余;重打包技术使得各种盗版软件层出不穷,充斥着Android市场,特别是对于金融、电商、游戏等产品的盗版应用,严重地威胁用户安全,并给开发者造成了实际利益和品牌损失。
以市面上很火的某款Unity 3d引擎开发的游戏为例,我们采用ReFlector + Reflexil 插件分析其c#逻辑,可以清晰地看到代码中用到的类名和方法名。进而快速定位到关键逻辑,当发生碰撞的时候会触发OnTriggerEnter函数,在这个函数中,当碰撞的检测逻辑被修改为this.isHaveZhenYuan等于true的时候,玩家控制的人物就会进入“刀枪不入”的状态。这样重新打包dll文件,然后再打包进apk文件,就可以轻松实现人物的无敌功能了。
再比如某款很火的冒险类游戏,使用反编译工具,通过分析之后可以看到其短信支付逻辑如下所示,当短信完成支付之后,会进入到相应的回调接口中,分别设置支付成功或者支付失败的状态,并执行相应的购买逻辑。那么恶意破解者就可以修改其短信支付逻辑,将所有的逻辑都改为支付成功执行的逻辑,达到可以不用花钱就能买到任意收费道具的目的。
由此可见,目前的Android平台的应用安全问题是多么地触目惊心,开发商辛辛苦苦的劳动成果,可能只需要几天甚至几个小时的时间,就会被破解者轻松破解并获利,给开发商造成了经济上和安全性上的巨大损失。针对apk被恶意篡改和重打包的问题,可以选择使用apk加固产品对apk进行安全加固,增强应用的的安全防护能力,提高apk被恶意破解的难度。
云加密是网易安全团队结合了多年的安全经验,推出的应用加固解决方案,能够针对应用做安全加固和漏洞检测等服务,加密方式简单快捷,有效帮助开发者保护软件版权和收入。
网易云加密通过对DEX文件、资源文件、SO库文件以及游戏app的脚本与动态库文件进行加固保护,把静态破解和动态破解拒之门外,可防止应用被逆向分析、反编译、二次打包、嵌入病毒、恶意扣费SDK、广告 SDK等,有效地提升了app的安全防护等级,从而维护了开发商的版权和商业利益。
经过安全加固后的apk具备对抗反编译、对抗静态分析、检测调试器、混淆Manifest文件保护、签名校验、so文件保护、崩溃日志收集等功能,针对容易被盗版的游戏还有针对unity平台的引擎脚本保护,以及针对Adobe Flash平台的保护方案。重重保护,将盗版和恶意篡改拒之门外。