NEWS 安全资讯

首页> 安全资讯 > 爱加密反逆向解决方案:APK签名认证分析

爱加密反逆向解决方案:APK签名认证分析

发布时间:2014-04-11

目前,Android市场混乱,APP盗版现象严重,最为普遍的的则是对Android APK进行二次打包,即对已存在的APK安装包进行反编译,嵌入恶意代码后,重新打包后再次进行签名成新的APK的行为。而做好防止二次打包保护,就需要了解APK签名认证的内容。

什么是签名? 

我们知道,包名是一个APK的唯一标识,比如2个一样包名的APK先后安装到同一台手机上,此时安装的APK将会覆盖原先安装的APK。签名则是开发者对APK的合法ID,它是为了防止在包名一样的情况下导致的覆盖的问题。所以一个APK的唯一正版识别是通过包名+签名共同的方式来判断。二次打包时,会丢失原有的签名,没有源APK开发商的签名文件是肯定不可能签署源APK的签名的,所以现在盗版APK的识别几乎都是此方式来识别的。

因此,同一程序,即使包名一样,如果签名不同,就不会产生覆盖问题,并且不允许升级安装。如下图情况:(只有卸载原来的APK才可以进行安装)

如何进行签名验证?

我们以业内权威的APP加密服务平台——爱加密为例,进行一个简单的分析:

爱加密现针对APP加密的基础服务包括对DEX源文件进行加壳保护,隐藏源代码。对资源文件,主配置文件进行指纹校验保护,防止修改后二次打包,以及SO库定制保护或根据用户需求定制的保护。

针对APK中的其他所有文件以及加密后的DEX壳文件,最终通过签名验证的方式判断APK是否被二次打包过。可以防止资源文件,主配置文件被修改、删除,如果检测出被二次打包后APK则无法运行。 

此外,爱加密的后台提供给APK签名的工具以及多渠道签名打包服务,只需要提供加密的APK和keystore文件,就可以给没有签名的APK进行签名,完全不会影响应用APK包的升级,极大的节省了开发人员的时间精力,更方便快捷。

爱加密推出的APK加固保护服务可有效解决开发者的应用被破解的问题,保护APP安全,不仅保护开发者和广大用户的利益,而且能强力遏制打包党的不良行为,净化整个APP市场,打造一个绿色的APP生态链。


加入收藏