各位老铁,早上好!今天咱们来聊聊安卓混合应用(Hybrid App)里那些“裸奔”的 JavaScript 代码,看看怎么用 Jadx 和 Apktool 把它们揪出来,让它们无处遁形。 引子:Hybrid App 的爱恨情仇 Hybrid App,顾名思义,就是“混血”App。它既有 Native App 的一些优点,比如可以访问设备硬件,又有 Web App 的跨平台能力。简单来说,就是用 WebView 控件加载 HTML、CSS 和 JavaScript 代码。 这种架构的优点很多,比如开发效率高、维护成本低、跨平台能力强。但是,它也有一个致命的缺点:JavaScript 代码容易被提取出来,存在一定的安全风险。 想象一下,如果你的 Hybrid App 里有一些核心的业务逻辑,比如支付算法、数据加密算法等,都被人轻轻松松地提取出来了,那岂不是要凉凉? 所以,保护 Hybrid App 里的 JavaScript 代码,是一个非常重要的课题。但是,在保护之前,我们首先得知道怎么把它提取出来,才能更好地进行防御。 第一部分:Apktool 的庖丁解牛 Apktool 是一个反编译 …
继续阅读“JS `Jadx` / `Apktool` 对 Android `Hybrid App` 中的 JS 代码提取”