iOS应用安全 － 完整性检测

• 一切都要从越狱说起

• 为什么要越狱？在ios8之前，输入法和键盘一直是苹果的“自留地”，从iPhone一代问世ios7，输入法从来没有开放过，我大天朝的子民岂能忍受得了这难用到掉渣的输入法。以至于很多人越狱可能仅仅只是为了装个输入法而已，当然appstore上的付费游戏也能通过各种途径免费畅玩，还能装各种插件，功能上俨然能向万花筒安卓看齐。

• 用户向往自由舒适的使用环境是没错的，也应该是厂商的努力方向，但是越狱后的风险却是不可忽视的。恶意攻击者可以在越狱的环境下任意修改文件程序，修改后客户端仍可以正常运行。当设备越狱后，恶意攻击者就可以通过修改客户端文件，在客户端中插入恶意脚本，窃取用户信息。甚至能改变app的执行逻辑，比如修改方法的返回值来绕过指纹、手势密码的验证等。

• 模拟现场再现

• 作案工具

1.越狱的手机（没有就用xcode的模拟器即可：能进入到安装目录即可）
2.XXX.ipa （用xcode跑个demo最直接）

• 作案流程

1.在代码里面打印下资源文件路径
NSLog(@"%@",[[NSBundle mainBundle]resourcePath]);
2.运行程序并进入该程序安装目录下，并显示包内容。

ipa包里面的文件结构
3.接下来就可以替换文件插入脚本了。这里简单的替换下启动图片做下演示，把启动图片弄成红色。

4.重新启动app（xcode不能重新运行，xcode点击停止，然后模拟器点开app），可以看到app正常启动而且图已经被修改。
替换后的启动图片

• 如何防止文件被篡改

方法一

通过对CodeResources读取资源文件原始hash，和当前hash进行对比，判断是否经过篡改，被篡改过的文件应从服务器重新请求资源文件进行替换,或者引导用户从正规渠道重新下载app。CodeResources文件是一个属性列表，包含bundle中所有其他文件的列表。这个属性列表可能有多个files，这是一个字典，其中键是文件名，值通常是Base64格式的散列值。如果键表示的文件是可选的，那么值本身也是一个字典，这个字典有一个hash键和一个optional键，如果文件被修改，其对应的hash也会改变。所以CodeResources文件内的hash可以用于判断一个应用程序是否完好无损。
下面打开CodeResources文件，看看里面都有什么

CodeResources文件
CodeResources文件名及对应的hash值
xcode工程

上图可以看到文件在CodeResources里面对应的hash。

• 从CodeResources获取当前文件的hash

  
  读取CodeResources内容
• 从CodeResources获取原始文件的hash
  思路是，从ipa里拷贝这个文件保存到后台服务器，app里从服务器下载这个文件读取内容进行比较。

方法二

3. 可以通过检测cryptid的值来检测是否被篡改，篡改过cryptid的值为0。原理看iOS平台游戏安全之IPA破解原理及防御(第三弹)

方法三 － 终极

如果以上都满足不了的话，可以自己对需要保护的重要文件做MD5hash校验。使用这个框架FileMD5Hash生成hash。通过对比原始文件的hash和当前的hash来做判断。只要文件的内容有被改变，hash的值一定会变，目前的破解技术都会修改到系统文件、比如CodeResources、Info.plist。

举个例子，给bundle里面所有的文件生成hash。
1.读取bundle所有文件名

//获得所有资源文件名
-(NSArray *)allFilesAtPath:(NSString *)dir{
    NSMutableArray * arr = [NSMutableArray array];
    NSFileManager * manager = [NSFileManager defaultManager];
    NSArray *temp = [manager contentsOfDirectoryAtPath:dir error:nil];
    
    for (NSString * fileName in temp) {
        BOOL flag = YES;
        NSString * fullpath = [dir stringByAppendingPathComponent:fileName];
        if ([manager fileExistsAtPath:fullpath isDirectory:&flag]) {
            if (!flag ) {
                [arr addObject:fileName];
//                NSLog(@"%@",fileName);
            }
        }
    }
    return arr;
}

2.生成资源文件名及对应的hash的字典，eg:@{@"appicon":@"wegdfser45t6432323111111",@"appicon1":@"wegdfser45t64323232222121"}；

//生成资源文件名及对应的hash的字典， eg:@{@"appicon":@"wegdfser45t643232324234"}；
-(NSDictionary *)getBundleFileHash{
    NSMutableDictionary * dicHash = [NSMutableDictionary dictionary];
    NSArray * fileArr = [self allFilesAtPath:[[NSBundle mainBundle]resourcePath]];
    for (NSString * fileName in fileArr) {
        //对应的文件生成hash
        NSString * HashString = [FileMD5Hash computeMD5HashOfFileInPath:[[[NSBundle mainBundle] resourcePath] stringByAppendingPathComponent:fileName]];
        if (HashString != nil) {
            [dicHash setObject:HashString forKey:fileName];
        }
    }
 //所有资源文件的hash就保存在这数组里
  return dicHash;
}

3.到这里已经拿到需要的文件的hash了，接下来就是对比了。

• iOS统计中破解和越狱是什么
• 保护iPhone App不被破解的办法
• 教你将破解的APP文件改为IPA安装包
• iOS平台游戏安全之IPA破解原理及防御(第三弹)