移动安全时代，如何保护你的app

Android系统的安全性历来备受诟病，在强大的反编译工具下，APK中的代码逻辑一览无余；重打包技术使得各种盗版软件层出不穷，充斥着Android市场，特别是对于金融、电商、游戏等产品的盗版应用，严重地威胁用户安全，并给开发者造成了实际利益和品牌损失。

以市面上很火的某款Unity 3d引擎开发的游戏为例，我们采用ReFlector + Reflexil 插件分析其c#逻辑，可以清晰地看到代码中用到的类名和方法名。进而快速定位到关键逻辑，当发生碰撞的时候会触发OnTriggerEnter函数，在这个函数中，当碰撞的检测逻辑被修改为this.isHaveZhenYuan等于true的时候，玩家控制的人物就会进入“刀枪不入”的状态。这样重新打包dll文件，然后再打包进apk文件，就可以轻松实现人物的无敌功能了。



再比如某款很火的冒险类游戏，使用反编译工具，通过分析之后可以看到其短信支付逻辑如下所示，当短信完成支付之后，会进入到相应的回调接口中，分别设置支付成功或者支付失败的状态，并执行相应的购买逻辑。那么恶意破解者就可以修改其短信支付逻辑，将所有的逻辑都改为支付成功执行的逻辑，达到可以不用花钱就能买到任意收费道具的目的。



由此可见，目前的Android平台的应用安全问题是多么地触目惊心，开发商辛辛苦苦的劳动成果，可能只需要几天甚至几个小时的时间，就会被破解者轻松破解并获利，给开发商造成了经济上和安全性上的巨大损失。针对apk被恶意篡改和重打包的问题，可以选择使用apk加固产品对apk进行安全加固，增强应用的的安全防护能力，提高apk被恶意破解的难度。

云加密是网易安全团队结合了多年的安全经验，推出的应用加固解决方案，能够针对应用做安全加固和漏洞检测等服务，加密方式简单快捷，有效帮助开发者保护软件版权和收入。

网易云加密通过对DEX文件、资源文件、SO库文件以及游戏app的脚本与动态库文件进行加固保护，把静态破解和动态破解拒之门外，可防止应用被逆向分析、反编译、二次打包、嵌入病毒、恶意扣费SDK、广告 SDK等，有效地提升了app的安全防护等级，从而维护了开发商的版权和商业利益。

经过安全加固后的apk具备对抗反编译、对抗静态分析、检测调试器、混淆Manifest文件保护、签名校验、so文件保护、崩溃日志收集等功能，针对容易被盗版的游戏还有针对unity平台的引擎脚本保护，以及针对Adobe Flash平台的保护方案。重重保护，将盗版和恶意篡改拒之门外。

链接：http://apk.aq.163.com/