[McAfee] Một trong những cách tốt nhất để phát triển các ứng dụng Android an toàn là tham gia thử nghiệm thâm nhập (bút), thực tế là cố gắng xâm nhập vào ứng dụng của bạn giống như kẻ tấn công có thể làm. Đây là bài thứ tư trong loạt bài viết về các ứng dụng Android thử nghiệm bút. Đầu tiên, chúng tôi thiết lập môi trường thử nghiệm và lưu lượng truy cập. Trong lần thứ hai, chúng tôi đã thảo luận về một số công cụ và kỹ thuật proxy, Giọt nước, Apktool, rất hữu ích trong quá trình đánh giá bảo mật các ứng dụng Android. Trong phần ba, chúng tôi đã xem xét xem lại tệp kê khai của Android.
Trong quá trình kiểm tra bút của các ứng dụng Android, thường phải sửa đổi mã nguồn của ứng dụng để bỏ qua việc ghim SSL, kiểm tra bảo vệ giả mạo, bỏ qua logic ứng dụng và các bước khác. Trong bài viết này, chúng tôi sẽ đề cập đến quá trình sửa đổi thành công mã nguồn.
Công cụ yêu cầu
- Tải xuống và thiết lập Apktool
- Jarsigner
- JD-GUI
Bước 1: Chuyển đổi mã sang định dạng Smali
Thiết lập Apktool và sử dụng lệnh sau để tháo rời APK. Chúng tôi đã sử dụng ứng dụng thử nghiệm Sàng.
apktool d <your apk path here> -o <output path>
Thư mục APK đã phân tách chứa các tệp Smali. Các tệp này có thể được sửa đổi bằng bất kỳ trình soạn thảo văn bản nào, như được hiển thị trong màn hình sau:
Bạn cũng có thể sử dụng JD-GUI (bằng cách chuyển đổi tệp class.dex sang định dạng .jar) để xác định lớp hoặc phương thức bạn muốn sửa đổi, sau đó vá các tệp Smali tương ứng.
Bước 2: Đóng lại APK
Sau khi sửa đổi mã Smali, bạn phải đóng lại APK. Sử dụng lệnh sau:
apktool b <deassembled apk path> -o <output apk path>
Android yêu cầu mọi APK phải được ký. Bất kỳ kết quả nhị phân không dấu trong một lỗi đi qua. Do đó, bước tiếp theo là tạo một cặp khóa và ký APK với điều đó.
Bước 3: Tạo và ký khóa
Keytool và Jarsigner được đóng gói trong gói Bộ công cụ phát triển Java và được yêu cầu hoàn thành bước này. Sử dụng lệnh này để tạo khóa:
keytool -genkey -v -keystore mykey.keystore -alias <Any alias name> -keyalg RSA -keysize 2048 -validity 10000
Sau khi bạn trả lời một loạt các câu hỏi tiếp theo, một keyfile (mykey.keystore) được tạo trong thư mục C: \ Users \ <username>.
Khi cặp khóa được tạo,APL có thể được đăng ký bằng lệnh sau:
jarsigner -verbose -sigache SHA1withRSA -digestache SHA1 -keystore mykey.keystore <apk path> alias_name
Sau khi hoàn tất các bước, APK đã có thể cài đặt thành công trên máy bạn.
Xem thêm:
- Tổng quan McAfee – Công ty bảo mật độc lập lớn thứ 2 thế giới
- Tư vấn mua McAfee Complete Endpoint Threat Protect bản quyền thuê bao/Vĩnh viễn
Nhấc máy và gọi cho chúng tôi ngay hôm nay