相信大家在日常开发中都要安全层面的需求,最典型的莫过于加密。而apk是脆弱的,反编译拿到你的源码轻而易举,这时候我们就需要更保险的手段来保存密钥之类的关键信息。本文就细致地讲解简单却实用的native手段,文中涉及部分jni的知识,但都有注释,浅显易懂,欢迎留言沟通。文末有示例代码地址。

目前ndk开发有三种编译手段:

  1. ndk-build。这是从eclipse时代就存在的一种编译方式,ndk-build是ndk开发包中的一个可执行文件,在这里不赘述,因为目前Android Studio已经普及,新带来的编译方式十分便捷。
  2. gradle-experimental。这是一款Android Gradle插件,跟我们常用的classpath 'com.android.tools.build:gradle:2.3.0'是同一个概念的东西,截至写作时,已经发展到了0.10.0版本,以后可能取代现有的gradle插件。
  3. CMake。CMake是个开源的跨平台的自动化构建系统,也是目前Studio默认集成的构建系统。CMakeLists.txt的配置这里不详细讲解了,在创建include c++的新项目时,Studio会帮你做好默认配置。

简单的使用jni

首先我们要声明一个本地方法,比如是一个获取密钥串的方法,如下:

package com.chenenyu.security;

public class Security {

    static { // 加载libsecurity.so,只要在方法调用前加载,放哪都行。

        System.loadLibrary("security");

    }

    public static native String getSecret();

}

这时候编译器可能会警告,因为找不到对应jni函数。我们按照Studio的提示创建一个function即可,或者自己手动创建源文件和头文件,这里我们采用静态注册方式(关于静态注册和动态注册的区别,可以google一下),对应的头文件和源文件中的函数如下:

### .h

#ifdef __cplusplus

extern "C" {

#endif

JNIEXPORT jstring JNICALL

Java_com_chenenyu_security_Security_getSecret(JNIEnv *env, jclass type);

#ifdef __cplusplus

}

#endif
### .cpp

jstring Java_com_chenenyu_security_Security_getSecret(JNIEnv *env, jclass type) {

    return env->NewStringUTF("Security str from native.");

}

这时我们在项目中调用Security.getSecret()就会得到这个字符串,这样看起来是不是比直接写在Java代码里安全多了?

然而......并没有!!!

直接使用jni的不足

jni是通过反射的方式来相互调用,也就是说,我们的native方法是不能混淆的,那么就可以反编译拿到.so库和同名的native方法,然后通过二次打包debug出这个密钥串。所以我们需要一种预防debug的手段,这里我们采取验证apk签名的方式来达到目的,当发现apk签名和我们自己的签名不一致的时候,调用so库直接崩溃即可。

如何对so进行保护

Java代码获取签名

首先我们来看看如何通过Java代码获取签名信息,

PackageManager pm = context.getPackageManager();

PackageInfo pi = pm.getPackageInfo(context.getPackageName(), PackageManager.GET_SIGNATURES);

Signature[] signatures = pi.signatures;

Signature signature0 = signatures[0];

signature0.toCharsString();

这里可以发现获取签名需要一个Context对象。

获取Context对象

这里我们仿照java代码获取签名的方式,首先我们是否需要传递一个Context对象到native中呢?答案是否定的。因为"坏人"可以通过重写Context和PackageManager的方式来伪造签名。那么不传Context怎么获取签名呢,这里我们可以通过反射获取一个Context:

// 下面几行代码展示如何任意获取Context对象,在jni中也可以使用这种方式

Class<?> activityThreadClz = Class.forName("android.app.ActivityThread");

Method currentApplication =  activityThreadClz.getMethod("currentApplication");

Application application = (Application) currentApplication.invoke(null);

具体代码可以参考ActivityThread.java

所以在native中我们也可以通过这种方式来获取Context对象,相关代码如下:

static jobject getApplication(JNIEnv *env) {

    jobject application = NULL;

    jclass activity_thread_clz = env->FindClass("android/app/ActivityThread");

    if (activity_thread_clz != NULL) {

        jmethodID currentApplication = env->GetStaticMethodID(

                activity_thread_clz, "currentApplication", "()Landroid/app/Application;");

        if (currentApplication != NULL) {

            application = env->CallStaticObjectMethod(activity_thread_clz, currentApplication);

        } else {

            LOGE("Cannot find method: currentApplication() in ActivityThread.");

        }

        env->DeleteLocalRef(activity_thread_clz);

    } else {

        LOGE("Cannot find class: android.app.ActivityThread");

    }

    return application;

}

Native代码获取签名

有了Context对象,我们就可以通过native调用java的方式来获取签名了:

// Application object

jobject application = getApplication(env);

if (application == NULL) {

    return JNI_ERR;

}

// Context(ContextWrapper) class

jclass context_clz = env->GetObjectClass(application);

// getPackageManager()方法

jmethodID getPackageManager = env->GetMethodID(context_clz, "getPackageManager", "()Landroid/content/pm/PackageManager;");

// 获取PackageManager实例

jobject package_manager = env->CallObjectMethod(application, getPackageManager);

// PackageManager class

jclass package_manager_clz = env->GetObjectClass(package_manager);

// getPackageInfo()方法

jmethodID getPackageInfo = env->GetMethodID(package_manager_clz, "getPackageInfo", "(Ljava/lang/String;I)Landroid/content/pm/PackageInfo;");

// getPackageName()方法

jmethodID getPackageName = env->GetMethodID(context_clz, "getPackageName", "()Ljava/lang/String;");

// 调用getPackageName()

jstring package_name = (jstring) (env->CallObjectMethod(application, getPackageName));

// PackageInfo实例

jobject package_info = env->CallObjectMethod(package_manager, getPackageInfo, package_name, 64);

// PackageInfo class

jclass package_info_clz = env->GetObjectClass(package_info);

// signatures字段

jfieldID signatures_field = env->GetFieldID(package_info_clz, "signatures", "[Landroid/content/pm/Signature;");

jobject signatures = env->GetObjectField(package_info, signatures_field);

jobjectArray signatures_array = (jobjectArray) signatures;

jobject signature0 = env->GetObjectArrayElement(signatures_array, 0);

// Signature class

jclass signature_clz = env->GetObjectClass(signature0);

// toCharsString()方法

jmethodID toCharsString = env->GetMethodID(signature_clz, "toCharsString", "()Ljava/lang/String;");

// 调用toCharsString()

jstring signature_str = (jstring) (env->CallObjectMethod(signature0, toCharsString));

// 最终的签名串

const char *sign = env->GetStringUTFChars(signature_str, NULL);

可以看到这个过程是很繁琐的,但是都是class、object、method、field等的来回调用,没什么难点。

使用完之后记得要释放内存哦

// release memory

env->DeleteLocalRef(application);

env->DeleteLocalRef(context_clz);

env->DeleteLocalRef(package_manager);

env->DeleteLocalRef(package_manager_clz);

env->DeleteLocalRef(package_name);

env->DeleteLocalRef(package_info);

env->DeleteLocalRef(package_info_clz);

env->DeleteLocalRef(signatures);

env->DeleteLocalRef(signature0);

env->DeleteLocalRef(signature_clz);

...

获取到签名之后,要和我们内置的签名串进行对比:

int result = strcmp(sign, "内置的签名串,可以通过上文的Java代码提前获取");

env->ReleaseStringUTFChars(signature_str, sign);

env->DeleteLocalRef(signature_str);

if (result == 0) { // 签名一致

    return JNI_OK;

}

return JNI_ERR;

何时校验so库

前面我们讲了怎样通过签名校验so调用的合法性,但是应该在何时校验呢?每次调用共享库中的方法都校验吗?这显然是不合理的,对性能也是一种无端消耗。这里我们要用到JNI_OnLoad()函数,该函数会在so库加载的时候自动调用,在加载时我们先验证一下apk的签名,不一致就直接崩溃,让“坏人”无可奈何~

jint JNI_OnLoad(JavaVM *vm, void *reserved) {

    JNIEnv *env = NULL;

    if (vm->GetEnv((void **) &env, JNI_VERSION_1_4) != JNI_OK) {

        return JNI_ERR;

    }

    if (verifySign(env) == JNI_OK) {

        return JNI_VERSION_1_4;

    }

    LOGE("签名不一致!");

    return JNI_ERR;

}

结语

至此,一个简单而有效地native安全库就完成了。请注意,没有绝对的安全,我们能做的,就是尽量提高破解难度。光保证客户端的安全是没有用的,我们还要保证传输过程的安全,比如杜绝明文传输,对关键信息进行(非)对称加密,不要用Base64或者MD5这种自欺欺人的方式!还有使用https代替http,这才是保险的安全手段。

最后,贴上文中示例代码地址 https://github.com/chenenyu/AndroidSecurity ,欢迎一起交流更安全的保护手段。

Android安全系列之:如何在native层保存关键信息的更多相关文章

  1. Android Framework 分析---2消息机制Native层

    在Android的消息机制中.不仅提供了供Application 开发使用的java的消息循环.事实上java的机制终于还是靠native来实现的.在native不仅提供一套消息传递和处理的机制,还提 ...

  2. android 视频录制 混淆打包 之native层 异常的解决

    原文地址:http://www.cnblogs.com/linguanh/    (滑至文章末,直接看解决方法) 问题起因: 前5天,因为项目里面有个类似 仿微信 视频录制的功能, 先是上网找了个 开 ...

  3. Android逆向之旅---Native层的Hook神器Cydia Substrate使用详解

    一.前言 在之前已经介绍过了Android中一款hook神器Xposed,那个框架使用非常简单,方法也就那几个,其实最主要的是我们如何找到一个想要hook的应用的那个突破点.需要逆向分析app即可.不 ...

  4. Android Java层,Native层,Lib层打印Log简介【转】

    本文转载自:https://blog.csdn.net/AndroidMage/article/details/52225068 说明: 这里我根据个人工作情况说明在各个层打印log.如有问题欢迎拍砖 ...

  5. 在Android Native层中创建Java虚拟机实例

    前言 Android应用中JNI代码,是作为本地方法运行的.而大部分情况下,这些JNI方法均需要传递Dalvik虚拟机实例作为第一个参数.例如,你需要用虚拟机实例来创建jstring和其他的Java对 ...

  6. Android Native层异步消息处理框架

     *本文系作者工作学习总结,尚有不完善及理解不恰当之处,欢迎批评指正* 一.前言 在NuPlayer中,可以发现许多类似于下面的代码: //============================== ...

  7. Android native层动态库注射

    1.简单介绍 本文解说在Android native层.root权限下.注射动态库到目标进程,从而hook目标进程中动态库的函数的实现方式. 文中的源代码所有来源于网络.我仅仅是略微加以整理. 环境: ...

  8. Android 怎样在java/native层改动一个文件的权限(mode)与用户(owner)?

    前言          欢迎大家我分享和推荐好用的代码段~~ 声明          欢迎转载.但请保留文章原始出处:          CSDN:http://www.csdn.net        ...

  9. Android中对Apk加固(加壳)续篇之---对Native层(so文件)进行加固

    有人说Android程序用Java代码写的,再怎么弄都是不安全的,很容易破解的,现在晚上关于应用加固的技术也很多了,当然这些也可以用于商业发展的,梆梆加密和爱加密就是很好的例子,当然这两家加固的Apk ...

随机推荐

  1. Docker的入门使用(初探总结)

    Docker容器包含两种(Linux,Windows)内核,常用的为Linux. linux ,mac,windows8及以下(boot2docker,通过Linux虚拟机实现)的Docker提供Li ...

  2. 新版vue-cli如何使用json-server来mork

    新版vue-cli如何使用json-server来mork 原创 2018年03月06日 11:28:32 标签: vue / 前端 / webpack / vue-cli 185 新版的vue-cl ...

  3. html5 & input & accept attribute

    html5 & input & accept attribute html input accept attribute https://www.w3schools.com/TAGS/ ...

  4. EntityFramework中Json序列化的循环引用问题解决--Newtonsoft.Json

    1.在使用EF时,由于数据库主外键关联,将对象进行Json序列化时会遇到循环引用的问题 //EF 中由于数据库主外键关联,对象的序列化经常出现循环引用问题 //使用.Net 自带的序列化工具,序列化出 ...

  5. MT【195】三次函数

    (2016年清华大学自主招生暨领军计划试题) 已知$x,y,z\in \mathbf{R}$,满足$x+y+z=1,x^2+y^2+z^2=1$,则下列结论正确的有( ) A.$xyz$的最大值为$0 ...

  6. IO编程(3)-序列化

    序列化 在程序运行的过程中,所有的变量都是在内存中,比如,定义一个dict: d = dict(name='Bob', age=20, score=88) 可以随时修改变量,比如把name改成'Bil ...

  7. python 爬虫 scrapy1_官网教程

    Python爬虫视频教程零基础小白到scrapy爬虫高手-轻松入门 https://item.taobao.com/item.htm?spm=a1z38n.10677092.0.0.482434a6E ...

  8. 在angularJs实现批量删除

    原理:在js中定义一个数组,然后给每个复选框一个点击事件,点击事件的方法参数有两个,一个是事件源$event,一个是id.点击复选框根据事件源判断是否被选中,然后进而是向这个数组增加或者删除id. $ ...

  9. Hadoop Yarn源码 - day1

    Hadoop 2.6.0下面的关于Yarn工程,如下所示,主要有以下七个module: hadoop-yarn-api:和外部平台交互的接口 hadoop-yarn-applications hado ...

  10. SQL记录-PLSQL触发器

    PL/SQL触发器 触发器是存储程序,它会自动执行或发射当一些事件发生.触发器,事实上,写入响应于以下任一事件将被执行: 数据库操作(DML)语句(DELETE,INSERT,UPDATE或) 数据库 ...