反编译支付宝、B站、简书等app后，我给它们的安全等级打了个分

作者：星星y
链接：https://juejin.im/post/6854573219131686919

前言

在Android开发中，apk的安全性是一个重要的关注点。每个app应用对于自身的数据和代码安全做了对应的保护。为了调研和学习市场上各类app它们的安全策略，此次反编译了30款apk来调研学习，加入debuggable和networkSecurityConfig属性（加入Charles证书），回编并签名apk，然后启动它，通过日志，抓包，界面展示来看看不同应用的安全策略。同时针对这些应用用了一个粗糙的分数排名（非专业评分，大家看看就好）。

各参数等级与分数说明

反编译Level

• L1: 资源无混淆，使用原始ApkTool即可实现反编译，回编成apk。
• L2（5分）: 资源混淆，需要修改ApkTool源码，可通过ApkCrack一键完成编译，添加证书，debug信息，回编签名
• L3（10分）: 资源混淆，ApkCrack无法回编，需要继续修改ApkTool源码适配，需要修改异常命名属性名，文件名，异常图片。最终可以回编成apk
• L4（20分）: 可以反编译，无法回编

启动level

• L1: 正常启动
• L2（20分）: 无法启动，卡住或闪退

http请求Level

• L1: http请求，抓包简单
• L2（5分）: https请求，无签名，可以修改请求
• L3（10分）: https请求，有参数签名校验，可以查看请求，无法修改
• L4（15分）: https请求，签名校验，响应加密
• L5（20分）: 无法抓取请求

登录Level

• L1: 可以登录
• L2（20分）: 无法登录

主界面Level

• L1: 能进入主界面
• L2（20分）: 不能

效果图

抓包

ApkCrack反编译过程

相关日志

apk安全评分

"-"表示当前最高等级，应用无法启动，默认最高等级。

上面app的排名非权威，非正式，非正确，大家且不必认真对待。

小结

不同类型的应用关注的安全等级与安全策略可能会有所不同，大致可能会有以下一些情况：

• 请求无签名，可以修改参数，安全等级较低，新闻类应用
• 关键数据加密，比如腾讯漫画只加密类章节数据
• 主界面有数据，提示非官方应用（拼多多）
• 主界面有数据，但是无法登录
• 主界面提示网络错误，签名校验失败（饿了么）
• 无法进入主界面，可能卡在闪屏页，可能应用闪退。
• 应用加固，反编译后无法启动，如自如，我爱我家，贝壳，这类应用数据（房源）都很重要，所以要加固代码。

Apk代码保护

反编译完那些apk发现，不是所有的apk会选择最极致的防反编译方式（代码混淆，资源混淆，加固等）。为了兼容性与性能，大部分应用不会选择加固方式保护代码。那么代码保护有哪些套路呢？根据上面的app，会有下面一些方案（可以叠加使用）。

• 代码混淆（gradle配置minifyEnabled可实现，大部分应用都会实现）
• 资源混淆（使用AndResGuard之类资源混淆库可实现，这类app用ApkTool是无法实现的，回编apk时会报No resource identifier found for attribute，不过可通过ApkCrack回编）
• 添加一些不符合规则的文件名，或者错误头的文件（因为apktool回编是通过aapt或者aapt2实现的，不合规的文件命名和文件导致资源编译失败，这些app反编译时可能需要继续针对性的修改ApkTool源码，手动或者代码方式处理这些文件和文件名，回编重新签名，时长和难度较高）
• 签名校验。因为原始的apk签名无法获取，反编译后的apk只能通过自己新生成的签名文件签名。所以，签名信息校验变得至关重要，它会帮你识别官方apk与第三方（有可能是恶意）的apk。在启动时做签名校验，可以更具校验结果选择不同的安全策略（闪退，安全模式，文字提醒，网络请求失败等）。
• 应用加固。如果你的app数据极为重要（独家信息），不能完全通过其他方式比如服务端，或者上面三种方式保证数据安全，最稳妥的就是加固应用了。可以选择阿里（聚安全），腾讯（乐固），360（加固宝）等方式加固自身的应用。