APP安全分析之打车软件

最近发现某款打车软件的APK非常的火，并听说他们进行了非常严密的防护，防止用户进行二次打包。今天我们来分析一下他的安全性到底如何。

创新互联公司专业为企业提供云浮网站建设、云浮做网站、云浮网站设计、云浮网站制作等企业网站建设、网页设计与制作、云浮企业网站模板建站服务，10余年云浮做网站经验，不只是建网站，更提供有价值的思路和整体网络服务。

经过严密的分析发现：该打车APP(司机版)主要的防护在两个地方

***个是：登录过程中，通过传递context对象到so库中的方式去拿到apk的签名信息的md5签名信息上传。

第二个是：在主界面中，每次onResume中，调用一个私有类进行校验，如果校验不通过，则弹出“请卸载该软件后再使用~”的提示。迫使点击确定的方式退出app。

首先我们来说***个校验：本身使用so作为获取签名信息的地方相应的比在java中获取签名信息的方式要安全。但是so获取签名信息必须给底层传递context对象。那么防护弱点也主要在这个context对象的传递上。

在com.sdu.didi.net包的c方法中

里面的SecurityLib.getUUID(this.b)便是调用so库的getUUID方法，并传递context。

其中UUID是在so库中通过签名信息换算过来的，this.b是application的getContext。

那么我们在application中添加重写getPackageManager方法，并修改其中的返回值。返回我们自己写的PackageManager。如下

修改其中的getPackageInfo方法，返回我们自己的packageInfo对象。

ChangesSignture方法如下：其中的Signature的值是司机正版的签名信息的MD5值。

通过以上的修改，经过测试。登录过程的校验已经没有任何作用了。

下面我们来说第二个校验：

在com.sdu.didi.gui.main包下的MainActivity中

其中checkCheatTool();会进行校验。如果是盗版会弹出提示：“请卸载该软件后再使用”，这种防护更没有安全性可言了。我们只需要把这行代码注释或者删除掉。这个校验就没有任何的作用了。

笔者***想说：

加密技术，也是一个很是需要深度研究的项目，有兴趣的话可以多看看别人用的加密方式，也可以去研究一些专门提供加密服务的第三方平台，当然，你要是懒省事儿的话也是可以直接用的。

本文题目：APP安全分析之打车软件
网站路径：http://www.hantingmc.com/qtweb/news39/507289.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联