安卓漏洞(apk破解总览)

• 安卓常见漏洞有，APK破解、不安全的用户数据存储、任意备份漏洞、不安全的数据传输、不安全的加密算法、组件导出拒绝服务漏洞等，我们这次主要研究的是apk破解
• APK的破解主要有apk篡改（二次打包与重签名）、反编译（dex反编译、so反编译
  ）、动态调试（java层动态调试、native层动态调试）、动态注入(java层动态注入、native层态注入)

一、APK篡改

• 二次打包、重签名

二次打包（缺少自身文件完整性校验）

• Android应用在编译后会将其代码、资源文件、配置文件打包成APK文件，APK文件的格式为zip包，任何人均可通过解压的方式获取其内部文件。如果不对内部文件进行完整性校验，攻击者可能会对APK包中的资源文件、代码文件进行篡改（插入恶意代码、木马、后门、广告等），二次打包和重新签名并且发布，并使用钓鱼的方式对终端用户进行攻击

重签名（缺少自身签名完整性校验）

• Android系统使用JAR包的签名机制对APK进行完整性保护，确保APK在不安全的网络传输时的完整性得到保护。但Android系统没有对数字签名的颁发者进行管理，任何人都可以生成数字签名，并使用该签名对APK包进行重新签名。如果App本身不对自身的签名来源进行有效的完整性检查，攻击者可以篡改应用（插入恶意代码、木马、后门、广告等），重新签名并且二次发布，导致应用程序完整性被破坏

二、反编译

• dex文件反编译、so文件反编译<