十年•杭研技术秀 | iOS App的加固保护原理(上)

社区编辑2018-05-15 18:05

2016年对于网易杭州研究院(以下简称“杭研”)而言是重要的 – 成立十周年之际,杭研正式推出了网易云。“十年•杭研技术秀”系列文章,由杭研研发团队倾情奉献,为您展示杭研那些有用、有趣的技术实践经验,涵盖云计算、大前端、信息安全、运维、QA、大数据、人工智能等领域,涉及前沿的分布式、容器、深度学习等技术。正是这些宝贵的实践经验,造就了今天高品质的网易云产品。

 

本文的分享来自杭研信息安全团队,从攻防原理层面解析了iOS APP的安全策略。iOS以高安全性著称,但它并非金刚不坏之身。对于信息安全而言,止大风于青萍之末是上上策,杭研深入各个细节的研发工作,正是网易产品质量的保障。

 

一、iOS的安全问题

 

世所公认,iOS系统安全性非常高,很少出现漏洞,几乎不会中毒的情况。然而随着各种iOS安全隐患的频频出现,人们逐渐认识到,iOS跟Android一样也面临严重的安全问题。苹果宣称所有的iPhone都很安全,不会被恶意软件攻击,其实这只不过苹果封闭式的系统管理能够及时处理漏洞罢了,这也正是苹果不敢开放的原因。

 

我们已经习惯,每个新的iOS系统出来没多久,就会有大牛找到越狱的方法。比较有名的越狱团队如iH8Sn0w、Geohot、Comex等,以及国内的盘古团队。就像最新iOS 10.1.1版本,刚出来一个星期,安全研究员Luca Todesco就在推特上晒图自曝越狱成功,iH8Sn0w和盘古团队也取得了不错的进展。只要越狱了,iPhone手机就处于完全裸奔状态,很多平时不能做的事情就可以做了,比如破解分析APP、大范围泄露用户隐私数据等。

 

其中,跟我们iOS开发者息息相关的问题,主要就是被破解、分析。APP被破解分析进而刷单作弊,或者APP被山寨以次充好等。APP一直以来存在的“山寨”现象,引起越来越多开发者的不满,山寨泛滥的后果将是劣币驱逐良币,打击创新者的积极性,造成恶性循环。

 

下面举几个例子:

 

  1. 山寨APP

 

 

比如上面的《神庙逃亡》应用,左边是合法的,右边是山寨的,山寨的APP就把图标的背景色以及局部做了一些修改,看起来和正品是如此的相似。

 

  1. 微信多开

 

 

这类APP在淘宝上都有销售。正常情况,一个手机只能有一个微信账号在线,但是微信分身版让用户可以在同一个手机上同时登录多个微信号,这样可以满足一些用户的不同需求,比如进行公众号营销、用不同的微信号联系不同的人等。同时这些破解后的微信还有一键转发小视频、一键评论、一键点赞等强大的功能。

 

  1. 自动抢红包

下面是一款红包神器的运行页面:

 

 

打开这款神器后再登录微信,如果微信群里有人发出红包,它就会第一时间帮你抢到红包了,从此“发家致富,迎娶白富美,走上人生巅峰”,哈哈!

 

那么,看起来如此高级的东东又是怎么实现的呢?下面我们做简要的介绍,只有在了解了它们的实现原理后,我们才能更好地保护我们的APP不被分析、破解。

 

二、iOS分析方法

 

懂得如何攻击才会懂得如何防御,一切都是为了之后的防御作准备。这里总结一下为hack而做的准备工作。

 

2.1常用的命令和工具

 

 

(1)otool可查看可执行程序都链接了哪些库。

 

 

(2)nm可以显示程序符号表。

nm -g DeviceInfo

 

 

(3)ldid:iPhoneOS.platform提供的签名工具。

我们自己编译的程序需要签上名才能跑在iPhone/iPad上。

 

2.2 class-dump-z

         它通常是和Clutch一起使用的,因为APP Store上的APP都是加密过的,需要先解密。Clutch解密后,就可以得到APP的源码结构,包括资源文件、二进制文件等,下面以XX新闻APP为例:

 

          “class-dump NewsBoard”,就可以得到应用的类信息,包括函数名,下面是该APP的一个登陆页面的头文件:

 

 

2.3 IDA等静态分析工具

         静态分析iOS APP的工具除了IDA,还有一款强大的工具– Hopper Disassembler,在某些方面,它比IDA更强大。

 

 

         上图显示,从IDA工具就可以看到该APP使用的一些类名和方法名,进而就可以分析到方法里面的实现逻辑了。

 

2.4实例

         我们在开发一款SDK的时候,想了解下公司外部竞品SDK的使用情况,到底有多少APP在集成他们的SDK。那么,这到底该怎么做呢?

 

         去竞品那里打听?好像不太现实,唯一的办法就是“自动动手,丰衣足食”。我们从XX助手上获取一定数量的APP,一般是拉取榜单的数据,比较有意义,然后分析拉到的APP里包含了哪些SDK。当然这得基于概率统计学的原理,获取足够多的样本,比如一万、十万都是可以的。那么又如何从XX助手服务器拉取这些数据呢?

 

大家可能都会想到,那就是分析XX助手的网络协议,然后通过代码模拟网络协议,请求数据,获取APP,再分析APP的符号。分析网络协议,最简单的就是网络抓包,但是估计现在很难再有裸奔的网络包了,XX助手确实也没有明文的网络包,所以只有逆向分析了。值得庆幸的是,它的APP没有做加固、保护,分析起来就简单多了。

 

2.4.1界面分析

我们首先从界面分析程序的大体逻辑结构。

 

来到XX助手的榜单页面,使用cycript打印界面布局:

 

[[UIApp keyWindow] recursiveDescription].toString()

 

找到每一个下载控件,这里随便找一个:

 

 

通过UITableViewCellContentView这个控件,找它的包含关系。

 

使用[#0x15baf520 nextResponder]往上找,可以得到:TRTableMultipleViewCell。

 

TRTableMultipleViewCell分为3列,每一列包含一个TRAppListSubCell,而每个TRAppListSubCell对应一个TRAppInfo对象,猜测这个TRAppInfo就是下载后的数据对象,Hook这个类的方法可以看到:

 

 

TRAppInfo对应一个App的相关信息,包括下载地址,为了得知这些信息是怎么初始化的。在-[TRAppInfo setAdsite:]下断点: b -[TRAppInfo setAdsite:],然后查看调用堆栈:

 

 

其中的一个类TRApiServices很像是网络请求的接口。Hook该类的调用输出,点击 榜单 ,并有了以下log输出:

 

 

            至此,我们基本确定了我们需要的函数名了。

 

2.4.2逆向分析

接下来,就是逆向分析getChartsAppListForCountryId和parseGetChartsAppListData这两个函数了。

 

          使用IDA工具打开XX助手APP,定位到getChartsAppListForCountryId这个函数:

 

 

再进一步去分析”writeBodyHeader”方法以及”getBody”等方法,就可以知道网络请求的发送格式了;要想知道网络数据返回的格式,还得去分析” parseGetChartsAppListData:error”这个方法,一切准备妥当后,就可以下载了。


 本文未结束,敬请期待下篇。