![\"Estrutura](\"http:\/\/www.apmuga.com\/wordpress\/wp-content\/uploads\/2016\/06\/SegurancaAndroid_img1.png\")
<\/a><\/p>\n<\/p>\n
<\/p>\n
A pasta assets contem todos os ficheiros anexos, como imagens, icons ou ficheiros de ajuda. Na directoria META-INF, ficam as assinaturas dos ficheiros contidos no apk e, no direct\u00f3rio res, temos os elementos gr\u00e1ficos, icons e splash, usados pelo Launcher do Android.<\/p>\n
<\/p>\n
As defini\u00e7\u00f5es e os privil\u00e9gios necess\u00e1rios para correr a aplica\u00e7\u00e3o ficam gravados no AndroidManifest.xml, e o mapeamento dos elementos gr\u00e1ficos usado no c\u00f3digo ficam no resources.arsc. Por fim, e n\u00e3o menos importante, temos o classes.dex (Dalvik Executable) com o c\u00f3digo compilado.<\/p>\n
<\/p>\n
\u00c9 aqui que o assunto se torna interessante. Uma aplica\u00e7\u00e3o nativa Android ter\u00e1 todo o c\u00f3digo compilado no classes.dex e as imagens, entre outros recursos utilizados, localizadas na pasta assets.<\/p>\n
<\/p>\n
Uma das caracter\u00edsticas do Android \u00e9 n\u00e3o usar a cl\u00e1ssica m\u00e1quina virtual JAVA, mas sim uma nova m\u00e1quina virtual intitulada Dalvik, criada de raiz, pensada e optimizada para aumentar a velocidade e reduzir tamanhos. N\u00e3o \u00e9 usado o bytecode Java. Em vez disso, foi introduzido o DEX. Por exemplo, numa aplica\u00e7\u00e3o JAVA, cada classe \u00e9 compilada para um ficheiro class individual, enquanto que, no DEX, todas as classes ficam juntas num \u00fanico ficheiro. Outra vantagem do DEX \u00e9 o tamanho, geralmente mais de 50% inferior ao JAR descomprimido. Apesar destas diferen\u00e7as, \u00e9 poss\u00edvel converter o DEX em JAR. Temos v\u00e1rias aplica\u00e7\u00f5es freeware dispon\u00edveis para o efeito. A mais conhecida \u00e9 o dex2jar, dispon\u00edvel no Sourceforge, entre outros reposit\u00f3rios. Fazemos o download, descomprimimos o pacote e executamos a aplica\u00e7\u00e3o, apontando para o nosso apk.<\/p>\n
<\/p>\n
<\/p>\n Descomprimimos o ficheiro JAR, tamb\u00e9m ele no formato ZIP, e usamos um de muitos descompiladores dispon\u00edveis para o JAVA para convertar o ficheiro class. Pessoalmente gosto de usar o JD-GUI Java Decompiler, de Emmanuel Dupuy .<\/p>\n <\/p>\n <\/p>\n <\/p>\n Pegando numa aplica\u00e7\u00e3o h\u00edbrida, baseada no PhoneGap, o processo \u00e9 muito mais simples. Esta ter\u00e1 todo o seu c\u00f3digo, html e javascript, em texto livre, distribu\u00eddo na pasta assets, deixando os plugins do PhoneGap no classes.dex.<\/p>\n <\/p>\n <\/p>\n Com isto tudo, podemos alterar o c\u00f3digo e reverter o processo. Compilamos, criamos o JAR, convertemos para DEX, com ajuda do d2j-jar2dex. Precisamos de voltar a criar os hash de cada ficheiro, com base no jarsigner, e compactar tudo num novo ficheiro apk. <\/p>\n <\/p>\n Para quem tiver pressa, podemos usar aplica\u00e7\u00f5es dispon\u00edveis do googlePlay, como o APKoptic ou o APK Extractor (Backup Apk) e gravar o ficheiro num cart\u00e3o sd para depois transferir para o nosso pc.<\/p>\n <\/p>\n Como saber o id do apk que pretendemos analisar? Ao navegar, no googlePlay, at\u00e9 \u00e0 p\u00e1gina de apresenta\u00e7\u00e3o do produto, conseguimos ler, no url do browser, o seu id.<\/p>\n <\/p>\n https:\/\/play.google.com\/store\/apps\/details?id=exemplo.app.pt.apk<\/p>\n <\/p>\n Nos outros ecossistemas, iOS, blackberry e Windows, o processo \u00e9 semelhante, apesar do n\u00edvel de dificuldade ser maior. De facto a Apple dedica muita energia \u00e0 seguran\u00e7a. As aplica\u00e7\u00f5es s\u00e3o digitalmente assinadas na Apple Store para serem instaladas num dispositivo espec\u00edfico. O controlo \u00e9 muito maior, e isso inclu\u00ed os programadores. Mas, h\u00e1 sempre um mas, ao fazer jailbreak de um iPhone, deitamos por terra esta barreira.<\/p>\n <\/p>\n Ser\u00e1 poss\u00edvel proteger as nossas aplica\u00e7\u00f5es ou temos que aceitar impavidamente esta situa\u00e7\u00e3o? A resposta \u00e9 nim. N\u00e3o \u00e9 poss\u00edvel ter uma garantia total. No entanto, \u00e9 poss\u00edvel prevenir. \u00c9 poss\u00edvel tornar a tarefa de tal modo herc\u00falea que fa\u00e7a desistir qualquer aprendiz a hacker.<\/p>\n <\/p>\n Primeiro, a seguran\u00e7a deve ser pensada desde o in\u00edcio. Devemos conhecer os mecanismos de defesa que a nossa plataforma de elei\u00e7\u00e3o oferece e desenhar a nossa aplica\u00e7\u00e3o nesse sentido. N\u00e3o se pode come\u00e7ar a codificar e esperar que a ofusca\u00e7\u00e3o do c\u00f3digo fa\u00e7a milagres. Devemos assumir que o nosso c\u00f3digo vai ser visto. Logo, ofuscar o c\u00f3digo \u00e9 essencial. N\u00e3o resolve o problema, mas faz parte da solu\u00e7\u00e3o. Para aplica\u00e7\u00f5es nativas, no Android Studio, basta configurar e ativar o Proguard. Para aplica\u00e7\u00f5es h\u00ecbridas, podemos usar o Google Closure Compiler com o n\u00edvel de compila\u00e7\u00e3o ADVANCED_OPTIMIZATIONS.<\/p>\n <\/p>\n Mesmo ofuscado, temos outro problema. Strings e valores de configura\u00e7\u00e3o, como por exemplo endere\u00e7os de acesso e chaves de encripta\u00e7\u00e3o, est\u00e3o dispon\u00edveis aos olhares mais indiscretos. O seu lugar, definitivamente, n\u00e3o \u00e9 no c\u00f3digo. Devem estar fora, idealmente criados na instala\u00e7\u00e3o, no \u201cInternal Storage\u201d.<\/p>\n <\/p>\n O \u201cInternal Storage\u201d \u00e9 um espa\u00e7o criado pelo Android, de acesso exclusivo da aplica\u00e7\u00e3o, n\u00e3o sendo acess\u00edvel aos outros processos em actividade, nem mesmo ao utilizador. Mesmo assim, num dispositivo rooteado, tal n\u00e3o \u00e9 garantia de seguran\u00e7a. \u00c9 poss\u00edvel corromper o sistema operativo e aceder ao \u201cInternal Storage\u201d . A\u00ed precisamos de encriptar os dados. Hoje em dia, os sistemas em chip (SoC) possuem um Trusted Execution Environment (TEE). Trata-se, com respetivas diferen\u00e7as de cada implementa\u00e7\u00e3o, de cada fabricante, de um processador virtual com capacidade para criar e gerir chaves privadas, totalmente inacess\u00edvel o resto dos processos em curso. Ali\u00e1s \u00e9 geralmente esse m\u00f3dulo que gere as chaves usadas pelas placas wifi desses mesmos SoC.<\/p>\n <\/p>\n O uso n\u00e3o podia ser mais simples. Criamos uma chave, que fica armazenada internamente e segura dentro do chip.<\/p>\n <\/p>\n <\/p>\n Podemos criar as chaves de que precisamos como, por exemplo, uma para o Internal Storage, onde codificamos tudo e garantimos que os dados s\u00f3 ser\u00e3o usados nesse equipamento. Podemos ter outro certificado para as comunica\u00e7\u00f5es com o servidor XPTO, em que fornecemos a chave p\u00fablica ao servidor.<\/p>\n <\/p>\n<\/a><\/p>\n<\/a><\/p>\n<\/a><\/p>\n
\nComo obter um apk? Para quem tiver o adb instalado, podemos ligar ao dispositivo e puxar diretamente o apk.<\/p>\n<\/a><\/p>\n<\/a><\/p>\n