我正在为Android开发一款支付处理应用程序,我想防止黑客访问APK文件中的任何资源、资产或源代码。
如果有人将.apk扩展名更改为.zip,那么他们可以将其解压缩并轻松访问应用程序的所有资源和资产,并且可以使用dex2jar和Java反编译器访问源代码。对Android APK文件进行反向工程非常容易-有关更多详细信息,请参阅堆栈溢出问题从APK文件到项目的反向工程。
我已经使用了Android SDK提供的Proguard工具。当我对使用签名密钥库和Proguard生成的APK文件进行反向工程时,我得到了混淆的代码。
然而,Android组件的名称保持不变,一些代码(如应用程序中使用的关键值)保持不变。根据Proguard文档,该工具无法混淆Manifest文件中提到的组件。
现在我的问题是:
如何完全防止Android APK的反向工程?这可能吗?我如何保护应用程序的所有资源、资产和源代码,使黑客无法以任何方式破解APK文件?有没有办法让黑客攻击变得更加困难甚至不可能?我还能做什么来保护APK文件中的源代码?
当前回答
你的客户应该雇佣一个知道他们在做什么、能够做出正确决定并能够指导你的人。
上面所说的你有能力改变后端的事务处理系统是荒谬的——你不应该被允许进行这样的架构改变,所以不要期望能够这样做。
我的理由是:
由于您的域是支付处理,因此可以安全地假设PCI DSS和/或PA DSS(以及潜在的州/联邦法律)对您的业务非常重要-为了符合要求,您必须证明自己是安全的。为了不安全,然后(通过测试)发现自己不安全,再进行修复、重新测试等,直到安全性能够在合适的水平上得到验证=昂贵、缓慢、高风险的成功方法。要做正确的事情,要事先认真思考,让有经验的人才投入工作,以安全的方式发展,然后测试、修复(更少)等,直到安全性可以在合适的水平上得到验证=廉价、快速、低风险的成功方式。
其他回答
工具:在应用程序中使用ProGuard,可以限制其对应用程序进行反向工程
在计算历史上,当您将软件的工作副本提供给攻击者时,从未有过阻止软件逆向工程的可能。而且,在大多数情况下,这是不可能的。
明白了这一点,就有了一个显而易见的解决方案:不要把你的秘密泄露给攻击者。虽然你不能保护APK的内容,但你可以保护的是你没有分发的任何内容。通常,这是服务器端软件,用于激活、支付、规则执行和其他有趣的代码。您可以通过不在APK中分发有价值的资产来保护它们。相反,设置一个服务器来响应应用程序的请求,“使用”资产(无论这意味着什么),然后将结果发送回应用程序。如果这个模型不适用于你心目中的资产,那么你可能需要重新思考你的战略。
此外,如果你的首要目标是防止应用程序盗版,那就别费心了。你已经在这个问题上花费了比任何反盗版措施都能挽救你的时间和金钱。解决这一问题的投资回报率很低,甚至连思考都没有意义。
1.如何完全避免Android APK的反向工程?这可能吗?
那是不可能的
2.如何保护应用程序的所有资源、资产和源代码,使黑客无法以任何方式破解APK文件?
开发人员可以采取一些措施,例如使用ProGuard之类的工具来混淆他们的代码,但到目前为止,要完全阻止某人对应用程序进行反编译还是相当困难的。
这是一个非常棒的工具,可以增加“反转”代码的难度,同时缩小代码的占地面积。
集成ProGuard支持:ProGuard现在与SDK工具一起打包。开发人员现在可以将其代码作为发布构建的集成部分进行模糊处理。
3.有没有办法让黑客攻击变得更加困难甚至不可能?我还能做什么来保护APK文件中的源代码?
在研究期间,我了解了HoseDex2Jar。此工具将保护您的代码不被反编译,但似乎不可能完全保护您的。
一些有用的链接,你可以参考它们。
Proguard、Android和许可服务器保护Android LVL应用程序堆栈溢出问题:保护Android应用程序不受反向工程的影响真的不可能吗?堆栈溢出问题如何防止Android APK文件反向工程以保护代码?
这里其他被否决的答案是正确的。我只是想提供另一种选择。
对于您认为重要的某些功能,您可以在应用程序中托管WebView控件。然后,该功能将在您的web服务器上实现。它看起来像是在您的应用程序中运行的。
基本上,有五种方法可以保护APK文件:
隔离Java程序,加密类文件,转换为本地代码,代码混淆联机加密
我建议你使用在线加密,因为它既安全又方便。你不必花太多时间来实现这一点。
如APK Protect。这是APK的在线加密网站。它提供Java代码和C++代码保护,以实现反调试和反编译效果。操作过程简单易行。
