破解 Android 上 airpods 连接软件的pro版
0x00 起因
起因是在Android上用了一段时间的AndPods觉得不太好用之后,换到了另一个Play商店推荐的App。动画、连接和电量提示都用的很满意,就是每次连接的弹窗和APP里面都有广告,就想着改成Pro版把广告去掉。
0x01 解包分析
首先把apk拿出来解包,开始看代码。
代码没有加固,用了混淆,搜索关键字之后发现,只做了一个签名校验,pro版本通过一个常量来判断并通过SP明文存储。
root过的话直接通过adb修改SP的内容就好,由于手机没有root,只好通过改代码的方式来实现破解。
0x02 修改Pro版
通过搜索代码确定,pro版的判定只通过MenuItem::isPro,直接把值写死,setter方法return就好。
- 修改MenuItem.smali的constructor,在return-void前为isPro初始化
# direct methods
.method public constructor <init>()V
.locals 1
invoke-direct {p0}, Ljava/lang/Object;-><init>()V
new-instance v0, Ljava/util/ArrayList;
invoke-direct {v0}, Ljava/util/ArrayList;-><init>()V
iput-object v0, p0, Lcom/pryshedko/materialpods/model/MenuItem;->possibleVariants:Ljava/util/ArrayList;
sget-object v0, Lcom/pryshedko/materialpods/model/MenuItem$PROPERTY_TYPE;->TEXT:Lcom/pryshedko/materialpods/model/MenuItem$PROPERTY_TYPE;
iput-object v0, p0, Lcom/pryshedko/materialpods/model/MenuItem;->type:Lcom/pryshedko/materialpods/model/MenuItem$PROPERTY_TYPE;
const/4 v0, 0x1
iput-boolean v0, p0, Lcom/pryshedko/materialpods/model/MenuItem;->isVisible:Z
const/high16 v0, 0x43110000 # 145.0f
iput v0, p0, Lcom/pryshedko/materialpods/model/MenuItem;->maxValue:F
sget-object v0, Lb/a/a/a/a/b/a$b;->d:Lb/a/a/a/a/b/a$b;
iput-object v0, p0, Lcom/pryshedko/materialpods/model/MenuItem;->unit:Lb/a/a/a/a/b/a$b;
const/high16 v0, 0x40800000 # 4.0f
iput v0, p0, Lcom/pryshedko/materialpods/model/MenuItem;->defaultFloatValue:F
+ const/4 v0, 0x1
+ iput-boolean v0, p0, Lcom/pryshedko/materialpods/model/MenuItem;->isPro:Z
return-void
.end method
- 修改MenuItem.smali的setPro方法,直接删除iput-boolean
.method public final setPro(Z)V
.locals 0
- iput-boolean p1, p0, Lcom/pryshedko/materialpods/model/MenuItem;->isPro:Z
return-void
.end method
0x03 绕过签名校验
通过搜索代码确定,签名校验的接口为b.g.b.b.b.g.b(),直接修改方法的返回值
.method public static b(Landroid/content/pm/PackageInfo;Z)Z
.locals 3
- const/4 v0, 0x0
- if-eqz p0, :cond_1
- iget-object v1, p0, Landroid/content/pm/PackageInfo;->signatures:[Landroid/content/pm/Signature;
- if-eqz v1, :cond_1
- const/4 v1, 0x1
- if-eqz p1, :cond_0
- sget-object p1, Lb/g/b/b/b/t;->a:[Lb/g/b/b/b/q;
- invoke-static {p0, p1}, Lb/g/b/b/b/g;->a(Landroid/content/pm/PackageInfo;[Lb/g/b/b/b/q;)Lb/g/b/b/b/q;
- move-result-object p0
- goto :goto_0
- :cond_0
- new-array p1, v1, [Lb/g/b/b/b/q;
- sget-object v2, Lb/g/b/b/b/t;->a:[Lb/g/b/b/b/q;
- aget-object v2, v2, v0
- aput-object v2, p1, v0
- invoke-static {p0, p1}, Lb/g/b/b/b/g;->a(Landroid/content/pm/PackageInfo;[Lb/g/b/b/b/q;)Lb/g/b/b/b/q;
- move-result-object p0
- :goto_0
- if-eqz p0, :cond_1
- return v1
- :cond_1
- return v0
+ const/4 v0, 0x1
+ return v0
.end method
0x04 重打包&签名
由于我是用apktool2.4.0和旧的framework-res进行解包的,AndroidManifest中的foregroundServiceType="location"没有被正确解析,导致重打包时报了foregroundServiceType的错误,升级到apktool2.5.0并安装最新的framework-res.apk即可解决。
0x05 总结
这个App没有做过多的防护,重打包的过程也只是因为工具版本太低出现了一点小问题,修改起来没有什么难度,分析签名校验和Pro鉴权也算顺利,没遇到什么坑。
