app安全评估之客户端程序安全（资源文件保护）

安全场景描述

Android apk中的资源主要分为assets资源和res资源两类.Assets资源存放在APP的assets目录下,该类文件是一些原始文件,APP打包时并不会对其进行编译,而是直接打包到APP中,对于这一类资源文件的访问,应用层代码需要通过文件名对其进行访问.Res资源则存放在APP的res目录下,该类资源在APP打包时大多会被编译,变成二进制文件,并会为每个该类文件赋予一个resource id.对于该类资源的访问,应用层代码则是通过resource id进行访问的.Android apk开发过程中公司大都提倡命名规范化,因此通过文件名称非常容易理解其含义,这样有利于开发者理解和维护应用,但是同时也给应用破解者提供了方便,破解者通过这些命名很容易便可找到他们需要的文件位置,并理解这些文件的意图.

威胁等级

低

影响范围

Android所有版本

测试步骤

访问文件夹。如图：

 

 没有混淆。下图是经过混淆处理的。

 

 除开混淆之外,还可以通过隐藏的方式对资源文件进行保护.经过加固隐藏后的res文件夹如下. 

修复建议

• 使用加固工具或者AndResGuard对资源进行混淆保护