iOS App的加強保護原理

本文由  網易雲 釋出。

本文從攻防原理層面解析了iOS APP的安全政策。iOS以高安全性著稱，但它并非金剛不壞之身。對于資訊安全而言，止大風于青萍之末是上上策，杭研深入各個細節的研發工作，正是網易産品品質的保障。

一、iOS的安全問題

世所公認，iOS系統安全性非常高，很少出現漏洞，幾乎不會中毒的情況。然而随着各種iOS安全隐患的頻頻出現，人們逐漸認識到，iOS跟Android一樣也面臨嚴重的安全問題。蘋果宣稱所有的iPhone都很安全，不會被惡意軟體攻擊，其實這隻不過蘋果封閉式的系統管理能夠及時處理漏洞罷了，這也正是蘋果不敢開放的原因。

我們已經習慣，每個新的iOS系統出來沒多久，就會有大牛找到越獄的方法。比較有名的越獄團隊如iH8Sn0w、Geohot、Comex等，以及國内的盤古團隊。就像最新iOS 10.1.1版本，剛出來一個星期，安全研究員Luca Todesco就在推特上曬圖自曝越獄成功，iH8Sn0w和盤古團隊也取得了不錯的進展。隻要越獄了，iPhone手機就處于完全裸奔狀态，很多平時不能做的事情就可以做了，比如破解分析APP、大範圍洩露使用者隐私資料等。

其中，跟我們iOS開發者息息相關的問題，主要就是被破解、分析。APP被破解分析進而刷單作弊，或者APP被山寨以次充好等。APP一直以來存在的“山寨”現象，引起越來越多開發者的不滿，山寨泛濫的後果将是劣币驅逐良币，打擊創新者的積極性，造成惡性循環。

下面舉幾個例子：

1. 山寨APP

比如上面的《神廟逃亡》應用，左邊是合法的，右邊是山寨的，山寨的APP就把圖示的背景色以及局部做了一些修改，看起來和正品是如此的相似。

1. 微信多開

這類APP在淘寶上都有銷售。正常情況，一個手機隻能有一個微信賬号線上，但是微信分身版讓使用者可以在同一個手機上同時登入多個微信号，這樣可以滿足一些使用者的不同需求，比如進行公衆号營銷、用不同的微信号聯系不同的人等。同時這些破解後的微信還有一鍵轉發小視訊、一鍵評論、一鍵點贊等強大的功能。

1. 自動搶紅包

下面是一款紅包神器的運作頁面：

打開這款神器後再登入微信，如果微信群裡有人發出紅包，它就會第一時間幫你搶到紅包了，從此“發家緻富，迎娶白富美，走上人生巅峰”，哈哈！

那麼，看起來如此進階的東東又是怎麼實作的呢？下面我們做簡要的介紹，隻有在了解了它們的實作原理後，我們才能更好地保護我們的APP不被分析、破解。

二、iOS分析方法

懂得如何攻擊才會懂得如何防禦，一切都是為了之後的防禦作準備。這裡總結一下為hack而做的準備工作。

2.1常用的指令和工具

（1）otool可檢視可執行程式都連結了哪些庫。

（2）nm可以顯示程式符号表。

nm -g DeviceInfo

（3）ldid:iPhoneOS.platform提供的簽名工具。

我們自己編譯的程式需要簽上名才能跑在iPhone/iPad上。

2.2 class-dump-z

     它通常是和Clutch一起使用的，因為APP Store上的APP都是加密過的，需要先解密。Clutch解密後，就可以得到APP的源碼結構，包括資源檔案、二進制檔案等，下面以XX新聞APP為例：

      “class-dump NewsBoard”，就可以得到應用的類資訊，包括函數名，下面是該APP的一個登陸頁面的頭檔案：

2.3 IDA等靜态分析工具

       靜态分析iOS APP的工具除了IDA，還有一款強大的工具– Hopper Disassembler，在某些方面，它比IDA更強大。

       上圖顯示，從IDA工具就可以看到該APP使用的一些類名和方法名，進而就可以分析到方法裡面的實作邏輯了。

2.4執行個體

       我們在開發一款SDK的時候，想了解下公司外部競品SDK的使用情況，到底有多少APP在內建他們的SDK。那麼，這到底該怎麼做呢？

       去競品那裡打聽？好像不太現實，唯一的辦法就是“自動動手，豐衣足食”。我們從XX助手上擷取一定數量的APP，一般是拉取榜單的資料，比較有意義，然後分析拉到的APP裡包含了哪些SDK。當然這得基于機率統計學的原理，擷取足夠多的樣本，比如一萬、十萬都是可以的。那麼又如何從XX助手伺服器拉取這些資料呢？

大家可能都會想到，那就是分析XX助手的網絡協定，然後通過代碼模拟網絡協定，請求資料，擷取APP，再分析APP的符号。分析網絡協定，最簡單的就是網絡抓包，但是估計現在很難再有裸奔的網絡包了，XX助手确實也沒有明文的網絡包，是以隻有逆向分析了。值得慶幸的是，它的APP沒有做加強、保護，分析起來就簡單多了。、

2.4.1界面分析

我們首先從界面分析程式的大體邏輯結構。

來到XX助手的榜單頁面，使用cycript列印界面布局：

[[UIApp keyWindow] recursiveDescription].toString()

找到每一個下載下傳控件，這裡随便找一個：

通過UITableViewCellContentView這個控件，找它的包含關系。

使用[#0x15baf520 nextResponder]往上找，可以得到：TRTableMultipleViewCell。

TRTableMultipleViewCell分為3列，每一列包含一個TRAppListSubCell，而每個TRAppListSubCell對應一個TRAppInfo對象，猜測這個TRAppInfo就是下載下傳後的資料對象，Hook這個類的方法可以看到：

TRAppInfo對應一個App的相關資訊，包括下載下傳位址，為了得知這些資訊是怎麼初始化的。在-[TRAppInfo setAdsite:]下斷點: b -[TRAppInfo setAdsite:]，然後檢視調用堆棧：

其中的一個類TRApiServices很像是網絡請求的接口。Hook該類的調用輸出，點選 榜單 ，并有了以下log輸出：

          至此，我們基本确定了我們需要的函數名了。

2.4.2逆向分析

接下來，就是逆向分析getChartsAppListForCountryId和parseGetChartsAppListData這兩個函數了。

        使用IDA工具打開XX助手APP，定位到getChartsAppListForCountryId這個函數：

再進一步去分析”writeBodyHeader”方法以及”getBody”等方法，就可以知道網絡請求的發送格式了；要想知道網絡資料傳回的格式，還得去分析” parseGetChartsAppListData:error”這個方法，一切準備妥當後，就可以下載下傳了。

三、iOS加強保護原理

從上面的分析來看，我們可以從以下幾個方面來保護我們的APP：

1.字元串混淆

對應用程式中使用到的字元串進行加密，保證源碼被逆向後不能看出字元串的直覺含義。

2.類名、方法名混淆

對應用程式的方法名和方法體進行混淆，保證源碼被逆向後很難明白它的真正功能。

3.程式結構混淆加密

對應用程式邏輯結構進行打亂混排，保證源碼可讀性降到最低。

4.反調試、反注入等一些主動保護政策

這是一些主動保護政策，增大破解者調試、分析APP的門檻。

3.1字元串加密

字元串會暴露APP的很多關鍵資訊，攻擊者可以根據界面顯示的字元串，快速找到相關邏輯的處理函數，進而進行分析破解。加密字元串可以增加攻擊者閱讀代碼的難度以及根據字元串靜态搜尋的難度。

比如一個APP中有如下的一些字元串定義在代碼檔案中：

經過加密後，代碼檔案變成如下的形式：

裡面已經沒有明文的字元串了，全是用byte的形式儲存的，打包生成APP後，他們也就無法直覺的看出實際内容了,這對破解者會造成巨大的難度：

3.2符号混淆

符号混淆的中心思想是将類名、方法名、變量名替換為無意義符号，提高應用安全性；防止敏感符号被class-dump工具提取，防止IDA Pro等工具反編譯後分析業務代碼。

比如一款混淆後的APP,用IDA等工具打開，如下圖所示：

“Labels”欄裡，顯示的這些符号，不管是類名還是方法名，誰也看不出來到底什麼意思，這個函數到底是什麼功能，就有點丈二和尚摸不着頭腦的感覺，這就大大增加了破解者分析APP的難度。

3.3代碼邏輯混淆

代碼邏輯混淆有以下幾個方面的含義：

1. 對方法體進行混淆，保證源碼被逆向後該部分的代碼有很大的迷惑性，因為有一些垃圾代碼的存在；
2. 對應用程式邏輯結構進行打亂混排，保證源碼可讀性降到最低，這很容易把破解者帶到溝裡去；
3. 它擁有和原始的代碼一樣的功能，這是最最關鍵的。

混淆前後的對比如下（左邊是原始結構，右邊是混淆後的結構）：

下面以iOS APP中的main函數為例：

它就隻有一行有效代碼，包含兩個關鍵函數，已經算最簡單的函數體了，混淆前的彙編代碼如下：

這裡主要包含兩個API的符号: NSStringFromClass、UIApplicationMain。其餘就是一些消息發送以及記憶體管理的相關符号，但如果進行一定的代碼邏輯混淆後，這個結構就會變得大不一樣了。

NSStringFromClass、UIApplicationMain這兩個函數，邏輯結構已經變得非常複雜了，如果一個函數中，包含更多的代碼的話，那這個結構将更加複雜，對破解者來說将是一個很耗時間、精力的過程，一般早早就會放棄分析了。

3.4URL編碼加密

對程式中出現的URL進行編碼加密，防止URL被靜态分析。

3.5網絡傳輸資料加密

對用戶端傳輸資料提供加密方案，防止通過網絡接口的攔截擷取資料。

3.6主動保護政策

除了上面的一些被動保護方法，我們還可以加入一些主動的防護機制，比如反調試等。

iOS平台下的Anti-Debug方法一般有以下一些：

1. 檢查程序的狀态是否為 P_TRACED。
2. 調用ptrace請求來檢查程序是否被調試。由于可能被攻擊者繞過該方法的調用，在應用的多處增加ptrace函數會提高應用的安全性。
3. 通過sysctl檢視資訊程序裡的标記，判斷自己是否正在被調試。sysctl是用以查詢核心狀态的接口，并允許具備相應權限的程序設定核心狀态。

iOS下的這些方法，相對于Linux下的方法要少很多，例如fork一個子程序，ptrace父程序進行檢測方式不再奏效。而且，要完全防止程式被調試或者被逆向，理論上是不可能的，但可以增加破解者調試的難度。

總之，添加以上的一些保護措施後，iOS APP的安全性會獲得很大的增強，大大提高了破解者破解的難度。對于iOS開發者來說，有必要了解這些措施，特别是針對一些金融、證券類APP的開發，保護方面的需求比較大，比如國内某知名移動支付工具就添加了一些調試檢測以及反調試的功能。

——王桂林

網易杭州研究院資訊安全部

2016.12

了解 網易雲 ：

網易雲官網：https://www.163yun.com/

新使用者大禮包：https://www.163yun.com/gift

網易雲社群：https://sq.163yun.com/