• Android安全系列之:如何在native层保存关键信息


    相信大家在日常开发中都要安全层面的需求,最典型的莫过于加密。而apk是脆弱的,反编译拿到你的源码轻而易举,这时候我们就需要更保险的手段来保存密钥之类的关键信息。本文就细致地讲解简单却实用的native手段,文中涉及部分jni的知识,但都有注释,浅显易懂,欢迎留言沟通。文末有示例代码地址。

    目前ndk开发有三种编译手段:

    1. ndk-build。这是从eclipse时代就存在的一种编译方式,ndk-build是ndk开发包中的一个可执行文件,在这里不赘述,因为目前Android Studio已经普及,新带来的编译方式十分便捷。
    2. gradle-experimental。这是一款Android Gradle插件,跟我们常用的classpath 'com.android.tools.build:gradle:2.3.0'是同一个概念的东西,截至写作时,已经发展到了0.10.0版本,以后可能取代现有的gradle插件。
    3. CMake。CMake是个开源的跨平台的自动化构建系统,也是目前Studio默认集成的构建系统。CMakeLists.txt的配置这里不详细讲解了,在创建include c++的新项目时,Studio会帮你做好默认配置。

    简单的使用jni

    首先我们要声明一个本地方法,比如是一个获取密钥串的方法,如下:

    package com.chenenyu.security;
    
    public class Security {
        static { // 加载libsecurity.so,只要在方法调用前加载,放哪都行。
            System.loadLibrary("security");
        }
        public static native String getSecret();
    }

    这时候编译器可能会警告,因为找不到对应jni函数。我们按照Studio的提示创建一个function即可,或者自己手动创建源文件和头文件,这里我们采用静态注册方式(关于静态注册和动态注册的区别,可以google一下),对应的头文件和源文件中的函数如下:

    ### .h
    #ifdef __cplusplus
    extern "C" {
    #endif
    
    JNIEXPORT jstring JNICALL
    Java_com_chenenyu_security_Security_getSecret(JNIEnv *env, jclass type);
    
    #ifdef __cplusplus
    }
    #endif
    ### .cpp
    jstring Java_com_chenenyu_security_Security_getSecret(JNIEnv *env, jclass type) {
        return env->NewStringUTF("Security str from native.");
    }

    这时我们在项目中调用Security.getSecret()就会得到这个字符串,这样看起来是不是比直接写在Java代码里安全多了?

    然而......并没有!!!

    直接使用jni的不足

    jni是通过反射的方式来相互调用,也就是说,我们的native方法是不能混淆的,那么就可以反编译拿到.so库和同名的native方法,然后通过二次打包debug出这个密钥串。所以我们需要一种预防debug的手段,这里我们采取验证apk签名的方式来达到目的,当发现apk签名和我们自己的签名不一致的时候,调用so库直接崩溃即可。

    如何对so进行保护

    Java代码获取签名

    首先我们来看看如何通过Java代码获取签名信息,

    PackageManager pm = context.getPackageManager();
    PackageInfo pi = pm.getPackageInfo(context.getPackageName(), PackageManager.GET_SIGNATURES);
    Signature[] signatures = pi.signatures;
    Signature signature0 = signatures[0];
    signature0.toCharsString();

    这里可以发现获取签名需要一个Context对象。

    获取Context对象

    这里我们仿照java代码获取签名的方式,首先我们是否需要传递一个Context对象到native中呢?答案是否定的。因为"坏人"可以通过重写Context和PackageManager的方式来伪造签名。那么不传Context怎么获取签名呢,这里我们可以通过反射获取一个Context:

    // 下面几行代码展示如何任意获取Context对象,在jni中也可以使用这种方式
    Class<?> activityThreadClz = Class.forName("android.app.ActivityThread");
    Method currentApplication =  activityThreadClz.getMethod("currentApplication");
    Application application = (Application) currentApplication.invoke(null);

    具体代码可以参考ActivityThread.java

    所以在native中我们也可以通过这种方式来获取Context对象,相关代码如下:

    static jobject getApplication(JNIEnv *env) {
        jobject application = NULL;
        jclass activity_thread_clz = env->FindClass("android/app/ActivityThread");
        if (activity_thread_clz != NULL) {
            jmethodID currentApplication = env->GetStaticMethodID(
                    activity_thread_clz, "currentApplication", "()Landroid/app/Application;");
            if (currentApplication != NULL) {
                application = env->CallStaticObjectMethod(activity_thread_clz, currentApplication);
            } else {
                LOGE("Cannot find method: currentApplication() in ActivityThread.");
            }
            env->DeleteLocalRef(activity_thread_clz);
        } else {
            LOGE("Cannot find class: android.app.ActivityThread");
        }
    
        return application;
    }

    Native代码获取签名

    有了Context对象,我们就可以通过native调用java的方式来获取签名了:

    // Application object
    jobject application = getApplication(env);
    if (application == NULL) {
        return JNI_ERR;
    }
    // Context(ContextWrapper) class
    jclass context_clz = env->GetObjectClass(application);
    // getPackageManager()方法
    jmethodID getPackageManager = env->GetMethodID(context_clz, "getPackageManager", "()Landroid/content/pm/PackageManager;");
    // 获取PackageManager实例
    jobject package_manager = env->CallObjectMethod(application, getPackageManager);
    // PackageManager class
    jclass package_manager_clz = env->GetObjectClass(package_manager);
    // getPackageInfo()方法
    jmethodID getPackageInfo = env->GetMethodID(package_manager_clz, "getPackageInfo", "(Ljava/lang/String;I)Landroid/content/pm/PackageInfo;");
    // getPackageName()方法
    jmethodID getPackageName = env->GetMethodID(context_clz, "getPackageName", "()Ljava/lang/String;");
    // 调用getPackageName()
    jstring package_name = (jstring) (env->CallObjectMethod(application, getPackageName));
    // PackageInfo实例
    jobject package_info = env->CallObjectMethod(package_manager, getPackageInfo, package_name, 64);
    // PackageInfo class
    jclass package_info_clz = env->GetObjectClass(package_info);
    // signatures字段
    jfieldID signatures_field = env->GetFieldID(package_info_clz, "signatures", "[Landroid/content/pm/Signature;");
    jobject signatures = env->GetObjectField(package_info, signatures_field);
    jobjectArray signatures_array = (jobjectArray) signatures;
    jobject signature0 = env->GetObjectArrayElement(signatures_array, 0);
    // Signature class
    jclass signature_clz = env->GetObjectClass(signature0);
    // toCharsString()方法
    jmethodID toCharsString = env->GetMethodID(signature_clz, "toCharsString", "()Ljava/lang/String;");
    // 调用toCharsString()
    jstring signature_str = (jstring) (env->CallObjectMethod(signature0, toCharsString));
    // 最终的签名串
    const char *sign = env->GetStringUTFChars(signature_str, NULL);

    可以看到这个过程是很繁琐的,但是都是class、object、method、field等的来回调用,没什么难点。

    使用完之后记得要释放内存哦

    // release memory
    env->DeleteLocalRef(application);
    env->DeleteLocalRef(context_clz);
    env->DeleteLocalRef(package_manager);
    env->DeleteLocalRef(package_manager_clz);
    env->DeleteLocalRef(package_name);
    env->DeleteLocalRef(package_info);
    env->DeleteLocalRef(package_info_clz);
    env->DeleteLocalRef(signatures);
    env->DeleteLocalRef(signature0);
    env->DeleteLocalRef(signature_clz);
    ...

    获取到签名之后,要和我们内置的签名串进行对比:

    int result = strcmp(sign, "内置的签名串,可以通过上文的Java代码提前获取");
    env->ReleaseStringUTFChars(signature_str, sign);
    env->DeleteLocalRef(signature_str);
    if (result == 0) { // 签名一致
        return JNI_OK;
    }
    return JNI_ERR;

    何时校验so库

    前面我们讲了怎样通过签名校验so调用的合法性,但是应该在何时校验呢?每次调用共享库中的方法都校验吗?这显然是不合理的,对性能也是一种无端消耗。这里我们要用到JNI_OnLoad()函数,该函数会在so库加载的时候自动调用,在加载时我们先验证一下apk的签名,不一致就直接崩溃,让“坏人”无可奈何~

    jint JNI_OnLoad(JavaVM *vm, void *reserved) {
        JNIEnv *env = NULL;
        if (vm->GetEnv((void **) &env, JNI_VERSION_1_4) != JNI_OK) {
            return JNI_ERR;
        }
        if (verifySign(env) == JNI_OK) {
            return JNI_VERSION_1_4;
        }
        LOGE("签名不一致!");
        return JNI_ERR;
    }

    结语

    至此,一个简单而有效地native安全库就完成了。请注意,没有绝对的安全,我们能做的,就是尽量提高破解难度。光保证客户端的安全是没有用的,我们还要保证传输过程的安全,比如杜绝明文传输,对关键信息进行(非)对称加密,不要用Base64或者MD5这种自欺欺人的方式!还有使用https代替http,这才是保险的安全手段。

    最后,贴上文中示例代码地址 https://github.com/chenenyu/AndroidSecurity ,欢迎一起交流更安全的保护手段。

  • 相关阅读:
    WebService 访问代理及安全性验证设置
    精益求精,抑或得过且过
    用Eclipse开发Android应用程序(1): 开始之前
    用Eclipse开发Android应用程序(3): 开发第一个Android应用程序HelloWorld(下篇)
    [转]C#中调用打印机编程实例
    检索 COM 类工厂中 CLSID 为 ???的组件时失败,原因是出现以下错误: 80080005。
    用Eclipse开发Android应用程序(2): 开发环境搭建
    GridView RowCommand事件操作Demo Code
    USB三模(EDGE、DCHSPA+和LTE)数据棒
    [用 OProfile 彻底了解性能]
  • 原文地址:https://www.cnblogs.com/dongweiq/p/6565395.html
Copyright © 2020-2023  润新知