测试人社区

apktool反编译apk后, 如何使用apktool, 来确认APP是否安全

背景

APP接入第三方支付SDK, 检测APP是否能保障支付安全

apk描述

apk使用360加固

反编译工具

使用apktool d test.apk 反编译apk

问题

  1. 可以检测哪些点
  2. 找不到关键的代码块

![]企业微信截图_34b96203-17db-49c9-a22d-3e5c7f4c2856

跟开发沟通后, 确认加固包被反编译后只显示了资源文件,版面布局, 关键的代码已经被隐藏, 所以反编译后的apk没什么特别重要的信息.

加固测试更多的是测试加固后有没有兼容性问题,以前有公司出现过在加固后崩溃率增加的问题。

加固后安全性增强,但是只能防住小白反编译,防止别人二次修改包,仍存在代码被反编译的可能。也就是在专业人士哪里,是100%可破解和反编译的。

所以需要自己去反编译加固前的dex,确保研发没有在代码注释、变量、配置中泄露一些服务端的配置或者密钥。

1 Like

谢谢解答.

  1. 加固后的兼容性没有太大问题, 因为加固包已经在线上跑了大半年, 并没有因为加固增加奔溃率;
  2. 反编译加固前的dex我可以加入测试范围, 这一块内容之前没有检测过