Android应用防盗版与完整性保护：阻止未经授权的APK运行

防止android应用的apk被复制和上传到第三方平台几乎是不可能阻止的，但我们可以有效阻止这些未经授权的克隆应用正常运行。本文将详细介绍如何利用google play integrity api和license verification library (lvl)来验证应用的真实性、设备完整性以及用户授权状态，从而保护您的应用免受盗版侵害，并确保其仅在合法渠道下运行。

Android应用防盗版策略概述

在Android生态系统中，一旦应用发布到Google Play商店，其APK文件就可能被下载、提取并重新分发到其他非官方平台。直接阻止APK的复制和上传是极具挑战性的。然而，通过实施强大的运行时验证机制，我们可以确保只有从Google Play商店安装的、未经篡改的应用才能正常运行，从而有效打击盗版和未经授权的分发。

核心策略在于验证应用的“完整性”和“授权性”：

1. 应用完整性 (App Integrity)：验证应用本身是否是官方版本，是否被篡改。
2. 设备完整性 (Device Integrity)：验证应用运行的设备是否安全、未经Root或模拟器。
3. 用户授权 (User Authorization)：验证当前用户是否已获得使用该应用的许可（通常针对付费应用）。

接下来，我们将深入探讨实现这些目标的主要工具和方法。

利用Google Play Integrity API保护应用

Google Play Integrity API是目前最强大且推荐的解决方案，用于验证您的应用是否真实、运行在真实的Android设备上，并且是通过Google Play获得的。它取代了旧版的SafetyNet Attestation API，提供了更全面的完整性信号。

工作原理

Play Integrity API的工作流程通常涉及客户端和服务器端：

1. 客户端请求：您的应用（客户端）向Google Play服务请求一个完整性令牌。这个请求会包含一个一次性随机数（nonce），用于防止重放攻击。
2. Google Play服务处理：Google Play服务收集有关应用、设备和Google Play账户的信息，并将其发送到Google服务器进行评估。
3. 服务器响应：Google服务器根据评估结果生成一个加密签名的完整性令牌，并将其返回给您的应用。
4. 客户端发送令牌：您的应用将这个完整性令牌发送到您自己的后端服务器。
5. 服务器端验证：您的后端服务器使用Google提供的API（通过Google Cloud或REST API）解密并验证这个令牌。验证成功后，服务器会检查令牌中包含的完整性判断结果，例如：
   • appIntegrity：确认您的应用是否是官方版本，未经篡改。
   • deviceIntegrity：确认设备是否符合最低安全标准（例如，未Root）。
   • accountDetails：提供有关Google Play许可证的信息（可选）。
   • environmentDetails：提供有关设备环境的信息（可选）。
6. 业务逻辑决策：根据服务器端对令牌的验证结果，您的服务器决定是否允许客户端继续执行关键操作或提供服务。

实施步骤（简化版）

1. 在Android客户端集成

在您的build.gradle文件中添加Play Integrity API依赖：

dependencies {
    implementation 'com.google.android.play:integrity:1.1.0' // 检查最新版本
}

在您的应用中，例如在启动时或执行关键操作前，请求完整性令牌：

import com.google.android.play.core.integrity.IntegrityManager;
import com.google.android.play.core.integrity.IntegrityManagerFactory;
import com.google.android.play.core.integrity.IntegrityTokenRequest;
import com.google.android.play.core.integrity.IntegrityTokenResponse;
import com.google.android.gms.tasks.Task;

public class MyIntegrityChecker {

    public void requestIntegrityToken(String nonce, IntegrityManager integrityManager) {
        IntegrityTokenRequest request = IntegrityTokenRequest.builder()
                .setNonce(nonce)
                .build();

        Task integrityTask = integrityManager.requestIntegrityToken(request);
        integrityTask.addOnSuccessListener(response -> {
            String integrityToken = response.token();
            // 将 integrityToken 发送到您的后端服务器进行验证
            sendTokenToServer(integrityToken);
        }).addOnFailureListener(e -> {
            // 处理请求失败，例如网络问题、设备不支持等
            handleIntegrityFailure(e);
        });
    }

    // ... 其他方法，例如生成nonce，发送token到服务器
}

注意事项：nonce是一个一次性使用的随机数，由您的服务器生成并提供给客户端，以防止重放攻击。

2. 在后端服务器验证令牌

您的后端服务器需要接收客户端发送的完整性令牌，并使用Google Play Integrity API的服务器端组件进行验证。这通常涉及：

• 使用Google Cloud客户端库或直接调用REST API。
• 提供您的Google Cloud项目凭据。
• 解析验证结果，根据appIntegrity和deviceIntegrity等字段做出业务决策。

示例（概念性）：

# Python 示例，使用 Google Cloud 客户端库
from google.cloud import playintegrity_v1

def verify_integrity_token(token: str, project_id: str):
    client = playintegrity_v1.PlayIntegrityClient()
    request = playintegrity_v1.DecodeIntegrityTokenRequest(
        token=token,
        project_id=project_id,
    )
    response = client.decode_integrity_token(request=request)

    # 检查响应中的完整性判断
    app_integrity = response.token_payload.app_integrity.app_recognition_verdict
    device_integrity = response.token_payload.device_integrity.device_recognition_verdict

    if app_integrity == 'PLAY_RECOGNIZED' and device_integrity == 'MEETS_BASIC_INTEGRITY':
        # 应用和设备都通过验证
        return True
    else:
        # 未通过验证，可能被篡改或运行在不安全设备上
        return False

重要提示：所有关键的完整性判断和业务逻辑都必须在您的后端服务器上执行。切勿在客户端进行这些判断，因为客户端代码容易被篡改。

使用Google Play License Verification Library (LVL)

对于付费应用，Google Play License Verification Library (LVL) 提供了一种验证用户是否已获得应用授权的方法。它通过与Google Play服务器通信来检查用户的购买状态。

文心快码

文心快码（Comate）是百度推出的一款AI辅助编程工具

下载

工作原理

LVL通过以下方式工作：

1. 客户端请求：您的应用使用LVL向Google Play服务发送一个许可证验证请求。
2. Google Play服务处理：Google Play服务检查当前用户的购买历史，并确定他们是否已获得应用的许可证。
3. 服务器响应：Google Play服务返回一个加密签名的响应，指示许可证状态。
4. 客户端验证：LVL在客户端解密并验证响应的签名，然后提供许可证状态（例如，LICENSED, NOT_LICENSED, RETRY）。

实施注意事项

• 仅适用于付费应用：LVL主要用于验证付费应用的购买许可证。对于免费应用，其作用有限。
• 客户端验证的局限性：虽然LVL包含签名验证，但纯粹的客户端许可证检查仍可能被高级攻击者绕过。
• 结合服务器端验证：为了更强的安全性，可以将LVL的验证结果发送到您的后端服务器进行二次验证，或者结合Play Integrity API使用。

LVL的未来与Play Integrity API

虽然LVL仍然可用，但Google Play Integrity API提供了更广泛的完整性信号，包括应用和设备的完整性，而不仅仅是许可证状态。对于新的或需要更强安全性的应用，优先考虑集成Play Integrity API是更现代和推荐的做法。如果您的应用是付费的，Play Integrity API的accountDetails字段也可以提供用户的Google Play许可证信息，可以在一定程度上替代或补充LVL的功能。

其他辅助措施

代码混淆与优化 (R8/ProGuard)

代码混淆（如使用R8或ProGuard）通过重命名类、字段和方法，并移除未使用的代码，来使逆向工程变得更加困难。这增加了攻击者理解和篡改应用逻辑的成本。

作用：

• 增加逆向工程难度：使攻击者难以理解代码结构和逻辑。
• 减小APK体积：移除冗余代码。

局限性：

• 不能阻止执行：混淆并不能阻止被篡改的APK运行。
• 并非安全解决方案：它只是一种防御性措施，不能替代完整性验证。

建议：始终启用R8/ProGuard进行代码混淆和优化，作为安全防御体系的一部分。

签名验证

在应用运行时，您可以检查其APK的签名是否与您发布的签名一致。如果签名不匹配，则表明APK已被篡改。

示例（概念性）：

try {
    PackageInfo packageInfo = getPackageManager().getPackageInfo(getPackageName(), PackageManager.GET_SIGNATURES);
    for (Signature signature : packageInfo.signatures) {
        // 计算签名的哈希值
        MessageDigest md = MessageDigest.getInstance("SHA");
        md.update(signature.toByteArray());
        String currentSignature = Base64.encodeToString(md.digest(), Base64.DEFAULT);

        // 与预期的官方签名哈希值进行比较
        if (!OFFICIAL_SIGNATURE_HASH.equals(currentSignature)) {
            // 签名不匹配，应用可能被篡改
            // 执行相应的处理，例如退出应用或禁用功能
        }
    }
} catch (PackageManager.NameNotFoundException | NoSuchAlgorithmException e) {
    e.printStackTrace();
}

注意事项：签名验证可以在客户端进行，但其结果也应该发送到服务器进行最终决策，以防止客户端验证逻辑被绕过。

总结与最佳实践

防止未经授权的APK运行是一个多层次的安全挑战，需要综合运用多种技术。

1. 核心防御：Google Play Integrity API：这是最强大且推荐的解决方案，用于验证应用、设备和用户环境的完整性。务必将关键的验证逻辑和业务决策放在您的后端服务器上。
2. 辅助防御：Google Play License Verification Library (LVL)：对于付费应用，LVL可以提供额外的用户授权验证层。
3. 通用实践：代码混淆与签名验证：启用R8/ProGuard增加逆向工程难度，并在运行时检查应用签名以检测篡改。
4. 服务器端验证至关重要：永远不要相信客户端的任何安全判断。所有敏感的完整性检查和授权决策都应在您的安全后端服务器上进行。
5. 安全存储密钥：确保您的API密钥、签名密钥等敏感信息得到妥善保护，避免硬编码在客户端。
6. 持续监控与更新：安全是一个持续的过程。定期审查您的安全措施，并及时更新到最新的API版本和安全实践。

通过实施上述策略，您可以显著提高Android应用的安全性，有效阻止未经授权的APK运行，从而保护您的知识产权和用户体验。