[发明专利]一种Android应用签名攻击检测方法

摘要

本发明公开了一种Android应用签名攻击检测方法。在Android合法应用被恶意插装重打包签名后，攻击者同时在原应用中注入签名攻击代码，使得原应用内部的签名校验结果失效，应用仍认为自身是合法应用。本发明通过在应用内部获取与签名相关的方法列表，分析签名读取的方法是否被劫持，来判断应用自身的签名校验机制是否受到攻击，进而判断出应用是否被重打包或者当前运行环境存在风险。本发明可有效的检测出目前主流的应用内部签名攻击方法以及系统全局攻击，同时本发明作为一种全新的应用签名攻击检测方法对Android恶意应用检测有很好的促进作用，也对移动应用安全方面提供了一个很好的思路。

主权项

1.一种Android 应用签名攻击检测方法，其特征在于包括以下步骤：1）收集android应用在签名校验中涉及到的系统方法；通过分析现有的签名校验手段，获得以下在签名校验中的关键方法：public PackageInfo getPackageInfo(String packageName, int flags, int userId)，以及 public static PackageInfo generatePackageInfo(PackageParser.Package p,int gids[], int flags, long firstInstallTime, long lastUpdateTime,HashSet grantedPermissions, PackageUserState state)，public byte[] toByteArray())，public boolean collectCertificates(Package pkg, int flags)，private Certificate[] loadCertificates(JarFile jarFile, JarEntry je,byte[] readBuffer)；2）获取步骤1）中关键方法所在的类信息，通过反射机制在native代码中获取到PackageManager、ApplicationPackageMnager以及PackageManagerService类信息；3）获取步骤1）中关键方法的方法指针，通过GetMethodID方法或GetStaticMethodID方法来获取关键方法的指针；4）将步骤3）中获得的关键方法的指针转换为Method/ARTMethod结构体，首先判断应用运行环境，将获取到的方法指针对应转换为Method结构体或ARTMethod结构体；5）获取步骤4）中的结构体中的accessFlags成员变量，accessFlags成员变量是方法的描述符，它记录这这个方法的作用域、静态或者非静态、可变性、是否可同步、是否本地方法、是否抽象的信息；6）分析步骤5）中获得的accessFlags成员变量，判断该成员变量的值是指向java方法还是native方法，若指向native方法，则说明该方法被修改，存在签名攻击的注入行为；若指向java方法，则说明该方法没有被修改，不存在签名攻击的注入行为；7）将检测方法形成的动态库文件，或者源代码，注入到/集成到待检测的目标应用中，在读取待检测的目标应用的签名信息之前进行检测；8）将检测结果返回给待检测的目标应用，结束检测过程。