蘋果系統的封閉性導致iOS APP安全性比較高,但是實際上iOS應用本身被破解的難度並不高,一旦在越獄設備上,ipa被分析就會變得很容易,本文通過講解iOS APP的破解分析過程來引出我們要如何的保護我們的應用。經過保護,iOS APP的安全性會獲得很大的增強,大大提高了破解者破解的難度。對於iOS開發者來說,有必要了解這些措施,特別是針對一些金融、遊戲類APP的開發。
一、iOS的安全問題
世所公認,iOS系統安全性非常高,很少出現漏洞,幾乎不會中毒的情況。然而隨着各種iOS安全隱患的頻頻出現,人們逐漸認識到,iOS跟Android一樣也面臨嚴重的安全問題。蘋果宣稱所有的iPhone都很安全,不會被惡意軟件攻擊,其實這只不過蘋果封閉式的系統管理能夠及時處理漏洞罷了,這也正是蘋果不敢開放的原因。
我們已經習慣,每個新的iOS系統出來沒多久,就會有大牛找到越獄的方法。比較有名的越獄團隊如iH8Sn0w、Geohot、Comex等,以及國內的盤古團隊。就像最新iOS 10.1.1版本,剛出來一個星期,安全研究員Luca Todesco就在推特上曬圖自曝越獄成功,iH8Sn0w和盤古團隊也取得了不錯的進展。只要越獄了,iPhone手機就處於完全裸奔狀態,很多平時不能做的事情就可以做了,比如破解分析APP、大範圍泄露用戶隱私數據等。
其中,跟我們iOS開發者息息相關的問題,主要就是被破解、分析。APP被破解分析進而刷單作弊,或者APP被山寨以次充好等。APP一直以來存在的“山寨”現象,引起越來越多開發者的不滿,山寨氾濫的後果將是劣幣驅逐良幣,打擊創新者的積極性,造成惡性循環。
下面舉幾個例子:
山寨APP
比如上面的《神廟逃亡》應用,左邊是合法的,右邊是山寨的,山寨的APP就把圖標的背景色以及局部做了一些修改,看起來和正品是如此的相似。
微信多開
這類APP在淘寶上都有銷售。正常情況,一個手機只能有一個微信賬號在線,但是微信分身版讓用戶可以在同一個手機上同時登錄多個微信號,這樣可以滿足一些用戶的不同需求,比如進行公衆號營銷、用不同的微信號聯繫不同的人等。同時這些破解後的微信還有一鍵轉發小視頻、一鍵評論、一鍵點贊等強大的功能。
自動搶紅包
下面是一款紅包神器的運行頁面:
打開這款神器後再登錄微信,如果微信羣裏有人發出紅包,它就會第一時間幫你搶到紅包了,從此“發家致富,迎娶白富美,走上人生巔峯”,哈哈!
那麼,看起來如此高級的東東又是怎麼實現的呢?下面我們做簡要的介紹,只有在瞭解了它們的實現原理後,我們才能更好地保護我們的APP不被分析、破解。
二、iOS分析方法
懂得如何攻擊纔會懂得如何防禦,一切都是爲了之後的防禦作準備。這裏總結一下爲hack而做的準備工作。
2.1常用的命令和工具
(1)otool可查看可執行程序都鏈接了哪些庫。
(2)nm可以顯示程序符號表。
|
1
|
nm -g DeviceInfo |
(3)ldid:iPhoneOS.platform提供的簽名工具。
我們自己編譯的程序需要簽上名才能跑在iPhone/iPad上。
2.2 class-dump-z
它通常是和Clutch一起使用的,因爲APP Store上的APP都是加密過的,需要先解密。Clutch解密後,就可以得到APP的源碼結構,包括資源文件、二進制文件等,下面以XX新聞APP爲例:
“class-dump NewsBoard”,就可以得到應用的類信息,包括函數名,下面是該APP的一個登陸頁面的頭文件:
2.3 IDA等靜態分析工具
靜態分析iOS APP的工具除了IDA,還有一款強大的工具– Hopper Disassembler,在某些方面,它比IDA更強大。
上圖顯示,從IDA工具就可以看到該APP使用的一些類名和方法名,進而就可以分析到方法裏面的實現邏輯了。
2.4實例
我們在開發一款SDK的時候,想了解下公司外部競品SDK的使用情況,到底有多少APP在集成他們的SDK。那麼,這到底該怎麼做呢?
去競品那裏打聽?好像不太現實,唯一的辦法就是“自動動手,豐衣足食”。我們從XX助手上獲取一定數量的APP,一般是拉取榜單的數據,比較有意義,然後分析拉到的APP裏包含了哪些SDK。當然這得基於概率統計學的原理,獲取足夠多的樣本,比如一萬、十萬都是可以的。那麼又如何從XX助手服務器拉取這些數據呢?
大家可能都會想到,那就是分析XX助手的網絡協議,然後通過代碼模擬網絡協議,請求數據,獲取APP,再分析APP的符號。分析網絡協議,最簡單的就是網絡抓包,但是估計現在很難再有裸奔的網絡包了,XX助手確實也沒有明文的網絡包,所以只有逆向分析了。值得慶幸的是,它的APP沒有做加固、保護,分析起來就簡單多了。、
2.4.1界面分析
我們首先從界面分析程序的大體邏輯結構。
來到XX助手的榜單頁面,使用cycript打印界面佈局:
|
1
|
[[UIAppkeyWindow]recursiveDescription].toString() |
找到每一個下載控件,這裏隨便找一個:
通過UITableViewCellContentView這個控件,找它的包含關係。
使用[#0x15baf520nextResponder]往上找,可以得到:TRTableMultipleViewCell。
TRTableMultipleViewCell分爲3列,每一列包含一個TRAppListSubCell,而每個TRAppListSubCell對應一個TRAppInfo對象,猜測這個TRAppInfo就是下載後的數據對象,Hook這個類的方法可以看到:
TRAppInfo對應一個App的相關信息,包括下載地址,爲了得知這些信息是怎麼初始化的。在-[TRAppInfosetAdsite:]下斷點: b-[TRAppInfosetAdsite:],然後查看調用堆棧:
其中的一個類TRApiServices很像是網絡請求的接口。Hook該類的調用輸出,點擊榜單,並有了以下log輸出:
至此,我們基本確定了我們需要的函數名了。
2.4.2逆向分析
接下來,就是逆向分析getChartsAppListForCountryId和parseGetChartsAppListData這兩個函數了。
使用IDA工具打開XX助手APP,定位到getChartsAppListForCountryId這個函數:
再進一步去分析”writeBodyHeader”方法以及”getBody”等方法,就可以知道網絡請求的發送格式了;要想知道網絡數據返回的格式,還得去分析” parseGetChartsAppListData:error”這個方法,一切準備妥當後,就可以下載了。
三、iOS加固保護原理
從上面的分析來看,我們可以從以下幾個方面來保護我們的APP:
1.字符串混淆
對應用程序中使用到的字符串進行加密,保證源碼被逆向後不能看出字符串的直觀含義。
2.類名、方法名混淆
對應用程序的方法名和方法體進行混淆,保證源碼被逆向後很難明白它的真正功能。
3.程序結構混淆加密
對應用程序邏輯結構進行打亂混排,保證源碼可讀性降到最低。
4.反調試、反注入等一些主動保護策略
這是一些主動保護策略,增大破解者調試、分析APP的門檻。
3.1字符串加密
字符串會暴露APP的很多關鍵信息,攻擊者可以根據界面顯示的字符串,快速找到相關邏輯的處理函數,從而進行分析破解。加密字符串可以增加攻擊者閱讀代碼的難度以及根據字符串靜態搜索的難度。
比如一個APP中有如下的一些字符串定義在代碼文件中:
經過加密後,代碼文件變成如下的形式:
裏面已經沒有明文的字符串了,全是用byte的形式保存的,打包生成APP後,他們也就無法直觀的看出實際內容了,這對破解者會造成巨大的難度:
3.2符號混淆
符號混淆的中心思想是將類名、方法名、變量名替換爲無意義符號,提高應用安全性;防止敏感符號被class-dump工具提取,防止IDA Pro等工具反編譯後分析業務代碼。
比如一款混淆後的APP,用IDA等工具打開,如下圖所示:
“Labels”欄裏,顯示的這些符號,不管是類名還是方法名,誰也看不出來到底什麼意思,這個函數到底是什麼功能,就有點丈二和尚摸不着頭腦的感覺,這就大大增加了破解者分析APP的難度。
3.3代碼邏輯混淆
代碼邏輯混淆有以下幾個方面的含義:
對方法體進行混淆,保證源碼被逆向後該部分的代碼有很大的迷惑性,因爲有一些垃圾代碼的存在;
對應用程序邏輯結構進行打亂混排,保證源碼可讀性降到最低,這很容易把破解者帶到溝裏去;
它擁有和原始的代碼一樣的功能,這是最最關鍵的。
混淆前後的對比如下(左邊是原始結構,右邊是混淆後的結構):
下面以iOS APP中的main函數爲例:
它就只有一行有效代碼,包含兩個關鍵函數,已經算最簡單的函數體了,混淆前的彙編代碼如下:
這裏主要包含兩個API的符號: NSStringFromClass、UIApplicationMain。其餘就是一些消息發送以及內存管理的相關符號,但如果進行一定的代碼邏輯混淆後,這個結構就會變得大不一樣了。
NSStringFromClass、UIApplicationMain這兩個函數,邏輯結構已經變得非常複雜了,如果一個函數中,包含更多的代碼的話,那這個結構將更加複雜,對破解者來說將是一個很耗時間、精力的過程,一般早早就會放棄分析了。
3.4URL編碼加密
對程序中出現的URL進行編碼加密,防止URL被靜態分析。
3.5網絡傳輸數據加密
對客戶端傳輸數據提供加密方案,防止通過網絡接口的攔截獲取數據。
3.6主動保護策略
除了上面的一些被動保護方法,我們還可以加入一些主動的防護機制,比如反調試等。
iOS平臺下的Anti-Debug方法一般有以下一些:
-
檢查進程的狀態是否爲 P_TRACED。
-
調用ptrace請求來檢查進程是否被調試。由於可能被攻擊者繞過該方法的調用,在應用的多處增加ptrace函數會提高應用的安全性。
-
通過sysctl查看信息進程裏的標記,判斷自己是否正在被調試。sysctl是用以查詢內核狀態的接口,並允許具備相應權限的進程設置內核狀態。
iOS下的這些方法,相對於Linux下的方法要少很多,例如fork一個子進程,ptrace父進程進行檢測方式不再奏效。而且,要完全防止程序被調試或者被逆向,理論上是不可能的,但可以增加破解者調試的難度。
總之,添加以上的一些保護措施後,iOS APP的安全性會獲得很大的增強,大大提高了破解者破解的難度。對於iOS開發者來說,有必要了解這些措施,特別是針對一些金融、證券類APP的開發,保護方面的需求比較大,比如國內某知名移動支付工具就添加了一些調試檢測以及反調試的功能。
