分配1:JavaANDANDROIDSIDITY编程
• 任务1:基于Android的应用程序(20分)
在提供的Android工作室中,有一个简写的Android应用程序,它使用默认的或定制的Keystore来数字签名由用户提供的文本消息。只要用户已经存储在一些常见的Android文件夹中,用户就可以选择他想要使用的Java密钥库。Android应用程序包括两个活动,一个公共活动(称为PrivateUserActivity)和一个名为PrivateActivity的私有活动。当应用程序启动时,加载公共活动(PrivateUserActivity)。PrivateUserActivity允许用户编写自定义密钥库将要使用的路径。另外还存在一个文本字段,用户可以在其中写入正确的密码用来打开密钥库。也有三个按钮具有如下图(1)所示的功能。
• 任务1.1(15分)实现私人活动PrivateActivity的功能,以便:
• 它收集并处理来自PrivateUserActivity的信息。
• 它从密钥存储库中提取有关密钥和证书的信息,并在Textview中显示密钥别名、证书类型和已使用的密码。
• 当用户放置在图1所示的文本框中的一个密钥别名中并在另一个文本框中添加文本(图1中也示出)时,如果按下“Return Result”按钮,则使用所选别名中的键对所提供的用户文本进行数字签名。
• 所提供的数字签名返回到PrivateActivity,并使用Toast类打印在APP屏幕上(参见所提供的Android项目内的相关代码)。
• 任务1.2(5个标记):基于现有的设计方法和在所提供的Android应用程序上出现的功能以及开发出的用于解决任务1.1的代码,解释可能使Android应用程序安全性提高的可能的设计问题。
图1:Android应用程序的预期功能
i
信息:一些注释暗示:
• PrivateUserActuviy.java中有一个类用于存储密钥存储库信息。当用户提供这样的信息时,该类的对象被创建,它被序列化,并使用Android意图机制向PrivateActivity.java发送。
• 使用Android外部意图机制传递两个活动之间的消息。
• 请记住,每个应用程序都需要有一定的权限来执行与Android系统相关的操作。
• 任务2。Android重新包装信息披露(10分)
完成这项任务的步骤:
• 选择一个Android应用程序来攻击。在因特网上存在多个APK存储库,在这里你可以下载APK(例如)。https://www.安德罗德德拉wer.com/). 您还可以使用HTTPS://APKPURE COM/
i
信息:在重新打包之后,如果应用程序不能再安装,你需要选择另一个应用程序来重新打包。报告这一点并解释为什么它不能被安装是这个任务的一个优点。
• 选择代码将被更改的位置。这可以是一个地方或多个地方。当标记时,将考虑所考虑的地方的复杂性。
• 做实际的改变(攻击)。有多种工具可用于此动作。为了简单起见,APKTooT可以用来修改SMALI代码级别的代码。为了灵活性,可以利用SOOT来检测Android APK文件中的代码。无论选择哪一种工具,最后的攻击都应该自动完成。
i
信息
有关SUT的信息可以从官方网站上找到:HTTPS://Github. COM/SABLY/SOOT
关于APKTooT的信息可以在:HTTPS://iBoToChan.Github. IO/APKTooTo/
你可以在SUTE中找到一个小教程:https://www.abartel.net/dexpl铒/
此外,您可以在最新的KALI Linux版本中找到几个Android应用程序逆向工程工具。