相信大家在日常開(kāi)發(fā)中都有安全層面的需求券坞,最典型的莫過(guò)于加密琅锻。而apk是脆弱的帮掉,反編譯拿到你的源碼輕而易舉,這時(shí)候我們就需要更保險(xiǎn)的手段來(lái)保存密鑰之類(lèi)的關(guān)鍵信息耿戚。本文就細(xì)致地講解簡(jiǎn)單卻實(shí)用的native手段湿故,文中涉及部分jni的知識(shí),但都有注釋?zhuān)瑴\顯易懂膜蛔,歡迎留言溝通坛猪。文末有示例代碼地址。
目前ndk開(kāi)發(fā)有三種編譯手段:
- ndk-build皂股。這是從eclipse時(shí)代就存在的一種編譯方式墅茉,ndk-build是ndk開(kāi)發(fā)包中的一個(gè)可執(zhí)行文件,在這里不贅述呜呐,因?yàn)槟壳癆ndroid Studio已經(jīng)普及就斤,新帶來(lái)的編譯方式十分便捷。
-
gradle-experimental蘑辑。這是一款A(yù)ndroid Gradle插件洋机,跟我們常用的
classpath 'com.android.tools.build:gradle:2.3.0'是同一個(gè)概念的東西,截至寫(xiě)作時(shí)洋魂,已經(jīng)發(fā)展到了0.10.0版本绷旗,以后可能取代現(xiàn)有的gradle插件喜鼓。 - CMake。CMake是個(gè)開(kāi)源的跨平臺(tái)的自動(dòng)化構(gòu)建系統(tǒng)衔肢,也是目前Studio默認(rèn)集成的構(gòu)建系統(tǒng)庄岖。
CMakeLists.txt的配置這里不詳細(xì)講解了,在創(chuàng)建include c++的新項(xiàng)目時(shí)膀懈,Studio會(huì)幫你做好默認(rèn)配置顿锰。
簡(jiǎn)單的使用jni
首先我們要聲明一個(gè)本地方法,比如是一個(gè)獲取密鑰串的方法启搂,如下:
package com.chenenyu.security;
public class Security {
static { // 加載libsecurity.so硼控,只要在方法調(diào)用前加載,放哪都行胳赌。
System.loadLibrary("security");
}
public static native String getSecret();
}
這時(shí)候編譯器可能會(huì)警告牢撼,因?yàn)檎也坏綄?duì)應(yīng)jni函數(shù)。我們按照Studio的提示創(chuàng)建一個(gè)function即可疑苫,或者自己手動(dòng)創(chuàng)建源文件和頭文件熏版,這里我們采用靜態(tài)注冊(cè)方式(關(guān)于靜態(tài)注冊(cè)和動(dòng)態(tài)注冊(cè)的區(qū)別,可以google一下)捍掺,對(duì)應(yīng)的頭文件和源文件中的函數(shù)如下:
### .h
#ifdef __cplusplus
extern "C" {
#endif
JNIEXPORT jstring JNICALL
Java_com_chenenyu_security_Security_getSecret(JNIEnv *env, jclass type);
#ifdef __cplusplus
}
#endif
### .cpp
jstring Java_com_chenenyu_security_Security_getSecret(JNIEnv *env, jclass type) {
return env->NewStringUTF("Security str from native.");
}
這時(shí)我們?cè)陧?xiàng)目中調(diào)用Security.getSecret()就會(huì)得到這個(gè)字符串撼短,這樣看起來(lái)是不是比直接寫(xiě)在Java代碼里安全多了?
然而......并沒(méi)有Mξ稹G帷!
直接使用jni的不足
jni是通過(guò)反射的方式來(lái)相互調(diào)用不瓶,也就是說(shuō)刻坊,我們的native方法是不能混淆的蜒茄,那么就可以反編譯拿到.so庫(kù)和同名的native方法际长,然后通過(guò)二次打包debug出這個(gè)密鑰串馍迄。所以我們需要一種預(yù)防debug的手段,這里我們采取驗(yàn)證apk簽名的方式來(lái)達(dá)到目的麦备,當(dāng)發(fā)現(xiàn)apk簽名和我們自己的簽名不一致的時(shí)候孽椰,調(diào)用so庫(kù)直接崩潰即可。
如何對(duì)so進(jìn)行保護(hù)
Java代碼獲取簽名
首先我們來(lái)看看如何通過(guò)Java代碼獲取簽名信息凛篙,
PackageManager pm = context.getPackageManager();
PackageInfo pi = pm.getPackageInfo(context.getPackageName(), PackageManager.GET_SIGNATURES);
Signature[] signatures = pi.signatures;
Signature signature0 = signatures[0];
signature0.toCharsString();
這里可以發(fā)現(xiàn)獲取簽名需要一個(gè)Context對(duì)象黍匾。
獲取Context對(duì)象
這里我們仿照java代碼獲取簽名的方式,首先我們是否需要傳遞一個(gè)Context對(duì)象到native中呢鞋诗?答案是否定的。因?yàn)?壞人"可以通過(guò)重寫(xiě)Context和PackageManager的方式來(lái)偽造簽名迈嘹。那么不傳Context怎么獲取簽名呢削彬,這里我們可以通過(guò)反射獲取一個(gè)Context:
// 下面幾行代碼展示如何任意獲取Context對(duì)象全庸,在jni中也可以使用這種方式
Class<?> activityThreadClz = Class.forName("android.app.ActivityThread");
Method currentApplication = activityThreadClz.getMethod("currentApplication");
Application application = (Application) currentApplication.invoke(null);
具體代碼可以參考ActivityThread.java。
所以在native中我們也可以通過(guò)這種方式來(lái)獲取Context對(duì)象融痛,相關(guān)代碼如下:
static jobject getApplication(JNIEnv *env) {
jobject application = NULL;
jclass activity_thread_clz = env->FindClass("android/app/ActivityThread");
if (activity_thread_clz != NULL) {
jmethodID currentApplication = env->GetStaticMethodID(
activity_thread_clz, "currentApplication", "()Landroid/app/Application;");
if (currentApplication != NULL) {
application = env->CallStaticObjectMethod(activity_thread_clz, currentApplication);
} else {
LOGE("Cannot find method: currentApplication() in ActivityThread.");
}
env->DeleteLocalRef(activity_thread_clz);
} else {
LOGE("Cannot find class: android.app.ActivityThread");
}
return application;
}
Native代碼獲取簽名
有了Context對(duì)象壶笼,我們就可以通過(guò)native調(diào)用java的方式來(lái)獲取簽名了:
// Application object
jobject application = getApplication(env);
if (application == NULL) {
return JNI_ERR;
}
// Context(ContextWrapper) class
jclass context_clz = env->GetObjectClass(application);
// getPackageManager()方法
jmethodID getPackageManager = env->GetMethodID(context_clz, "getPackageManager", "()Landroid/content/pm/PackageManager;");
// 獲取PackageManager實(shí)例
jobject package_manager = env->CallObjectMethod(application, getPackageManager);
// PackageManager class
jclass package_manager_clz = env->GetObjectClass(package_manager);
// getPackageInfo()方法
jmethodID getPackageInfo = env->GetMethodID(package_manager_clz, "getPackageInfo", "(Ljava/lang/String;I)Landroid/content/pm/PackageInfo;");
// getPackageName()方法
jmethodID getPackageName = env->GetMethodID(context_clz, "getPackageName", "()Ljava/lang/String;");
// 調(diào)用getPackageName()
jstring package_name = (jstring) (env->CallObjectMethod(application, getPackageName));
// PackageInfo實(shí)例
jobject package_info = env->CallObjectMethod(package_manager, getPackageInfo, package_name, 64);
// PackageInfo class
jclass package_info_clz = env->GetObjectClass(package_info);
// signatures字段
jfieldID signatures_field = env->GetFieldID(package_info_clz, "signatures", "[Landroid/content/pm/Signature;");
jobject signatures = env->GetObjectField(package_info, signatures_field);
jobjectArray signatures_array = (jobjectArray) signatures;
jobject signature0 = env->GetObjectArrayElement(signatures_array, 0);
// Signature class
jclass signature_clz = env->GetObjectClass(signature0);
// toCharsString()方法
jmethodID toCharsString = env->GetMethodID(signature_clz, "toCharsString", "()Ljava/lang/String;");
// 調(diào)用toCharsString()
jstring signature_str = (jstring) (env->CallObjectMethod(signature0, toCharsString));
// 最終的簽名串
const char *sign = env->GetStringUTFChars(signature_str, NULL);
可以看到這個(gè)過(guò)程是很繁瑣的,但是都是class雁刷、object覆劈、method、field等的來(lái)回調(diào)用沛励,沒(méi)什么難點(diǎn)责语。
使用完之后記得要釋放內(nèi)存哦
// release memory
env->DeleteLocalRef(application);
env->DeleteLocalRef(context_clz);
env->DeleteLocalRef(package_manager);
env->DeleteLocalRef(package_manager_clz);
env->DeleteLocalRef(package_name);
env->DeleteLocalRef(package_info);
env->DeleteLocalRef(package_info_clz);
env->DeleteLocalRef(signatures);
env->DeleteLocalRef(signature0);
env->DeleteLocalRef(signature_clz);
...
獲取到簽名之后,要和我們內(nèi)置的簽名串進(jìn)行對(duì)比:
int result = strcmp(sign, "內(nèi)置的簽名串目派,可以通過(guò)上文的Java代碼提前獲取");
env->ReleaseStringUTFChars(signature_str, sign);
env->DeleteLocalRef(signature_str);
if (result == 0) { // 簽名一致
return JNI_OK;
}
return JNI_ERR;
何時(shí)校驗(yàn)so庫(kù)
前面我們講了怎樣通過(guò)簽名校驗(yàn)so調(diào)用的合法性坤候,但是應(yīng)該在何時(shí)校驗(yàn)?zāi)兀棵看握{(diào)用共享庫(kù)中的方法都校驗(yàn)嗎企蹭?這顯然是不合理的白筹,對(duì)性能也是一種無(wú)端消耗。這里我們要用到JNI_OnLoad()函數(shù)谅摄,該函數(shù)會(huì)在so庫(kù)加載的時(shí)候自動(dòng)調(diào)用徒河,在加載時(shí)我們先驗(yàn)證一下apk的簽名,不一致就直接崩潰送漠,讓“壞人”無(wú)可奈何~
jint JNI_OnLoad(JavaVM *vm, void *reserved) {
JNIEnv *env = NULL;
if (vm->GetEnv((void **) &env, JNI_VERSION_1_4) != JNI_OK) {
return JNI_ERR;
}
if (verifySign(env) == JNI_OK) {
return JNI_VERSION_1_4;
}
LOGE("簽名不一致!");
return JNI_ERR;
}
結(jié)語(yǔ)
至此顽照,一個(gè)簡(jiǎn)單而有效地native安全庫(kù)就完成了。請(qǐng)注意螺男,沒(méi)有絕對(duì)的安全棒厘,我們能做的,就是盡量提高破解難度下隧。光保證客戶(hù)端的安全是沒(méi)有用的奢人,我們還要保證傳輸過(guò)程的安全,比如杜絕明文傳輸淆院,對(duì)關(guān)鍵信息進(jìn)行(非)對(duì)稱(chēng)加密何乎,不要用Base64或者M(jìn)D5這種自欺欺人的方式!還有使用https代替http土辩,這才是保險(xiǎn)的安全手段支救。
最后,貼上文中示例代碼地址 https://github.com/chenenyu/AndroidSecurity 拷淘,歡迎一起交流更安全的保護(hù)手段各墨。
