Flutter应用安全保护：代码混淆的重要性与Android/iOS混淆步骤详解

前言本文将会和大家说下保护代码的重要性和如何给程序加上混淆编译功能。尽可能的不要在你的程序中写死各种服务秘钥比如 oss 容易被盗用。参考https://docs.flutter.dev/deployment/obfuscatehttps://www.guardsquare.com/blog/obstacles-in-dart-decompilation-and-the-impact-on-flutter-app-security知识点在 Flutter 项目中开启代码混淆有以下几个主要的好处:提高应用安全性:代码混淆会对应用程序的源代码进行转换和混淆,使其更难被逆向工程和破解。这有助于保护应用程序的知识产权和商业机密。混淆后的代码不易被阅读和理解,降低了攻击者分析和篡改代码的风险。减小APK文件大小:代码混淆可以通过缩短变量名、移除未使用的代码等方式来减小应用程序的大小。更小的APK文件意味着更快的下载速度和更高的用户体验。提升应用性能:代码混淆通常会对代码进行优化,消除无用的调用和重复代码,从而提高应用程序的运行效率和性能。隐藏程序结构:混淆后的代码不易阅读和理解,这使得攻击者更难分析应用程序的内部结构和工作原理。这对于保护关键算法和业务逻辑非常有帮助。降低应用被篡改的风险:代码混淆会让攻击者更难定位和修改关键代码,从而降低应用被篡改的风险。这对于需要高安全性的应用程序非常重要,例如金融、支付等领域的应用。了解逆向这里我们以 android apk 文件举例来说明混淆的必要性如果你了解直接跳过本节。先编译一个 release apkflutter build apk --release # 输出文件 build/app/outputs/flutter-apk/app-release.apk下载 apktool 工具https://apktool.org/docs/installhttps://bitbucket.org/iBotPeaches/apktool/downloads/macos 下直接 brewbrew install apktoolios 下可以试试 class-dump 工具解包我们可以建一个 dump 目录将 app-release.apk 文件放入cd dump apktool d app-release.apk -o output_dir与 zip 解包的区别还原编译过的资源文件:APKTool 可以还原 APK 中经过编译的资源文件,如 Drawable、Layout、Values等,使得这些文件可以被直接编辑和修改。而直接使用 ZIP 解压,得到的只是原始的资源文件,无法进行深入的编辑和修改。解码 Smali 代码:APKTool 可以将 APK 中的 Dalvik 字节码文件解码为 Smali 汇编代码,方便逆向分析和修改应用程序的逻辑。直接解压 ZIP 得到的是原始的 Dex 字节码文件,需要使用其他工具如 dex2jar 才能进一步分析。重新打包 APK:APKTool 除了可以解包,还可以将修改后的 Smali 代码和资源文件重新打包成新的 APK 文件。直接使用 ZIP 解压缩无法直接重新打包,需要额外的步骤。保留签名信息:APKTool 在重新打包时会保留原 APK 的签名信息,无需重新签名。直接使用 ZIP 解压缩后重新打包,需要重新对 APK 进行签名。apktool 可以重新打包 apk 文件哦逆向 lib/arm64-v8a/libapp.so 文件工具还是很多 IDA Pro , objdump, radare2, Ghidra 。结论我们还是混淆下代码提升下应用安全。混淆步骤Androidandroid/app/build.gradlebuildTypes { release { // TODO: Add your own signing config for the release build. // Signing with the debug keys for now, so flutter run --release works. signingConfig signingConfigs.debug minifyEnabled true shrinkResources true proguardFiles getDefaultProguardFile(proguard-android-optimize.txt), proguard-rules.pro } } }minifyEnabled true: 这个选项开启了代码混淆功能,会对应用程序的代码进行优化和缩减,以减小 APK 的大小并提高安全性。shrinkResources true: 这个选项会删除未使用的资源文件,进一步缩小 APK 的大小。proguardFiles getDefaultProguardFile(proguard-android-optimize.txt), proguard-rules.pro: 这里指定了 Proguard 规则文件的位置。Proguard 是一个代码混淆和优化工具,这些规则文件定义了如何对代码进行处理。android/app/proguard-rules.pro# Flutter Obfuscation -ignorewarnings -keep class io.flutter.app.** { *; } -keep class io.flutter.plugin.** { *; } -keep class io.flutter.util.** { *; } -keep class io.flutter.view.** { *; } -keep class io.flutter.embedding.** { *; } -keep class io.flutter.embedding.engine.** { *; } -keep class io.flutter.embedding.android.** { *; } -keep class io.flutter.embedding.engine.plugins.** { *; } -keep class io.flutter.plugin.common.** { *; } -keep class io.flutter.plugin.platform.** { *; }ignorewarnings: 忽略 ProGuard 在运行期间可能产生的一些警告信息。-keep class *: 保留 \* 包及其所有子包下的所有类和成员不被混淆。执行打包flutter build apk --release --obfuscate --split-debug-info./build_infoFont asset MaterialIcons-Regular.otf was tree-shaken, reducing it from 1645184 to 1384 bytes (99.9% reduction). Tree-shaking can be disabled by providing the --no-tree-shake-icons flag when building your app. Running Gradle task assembleRelease... 34.9s ✓ Built build/app/outputs/flutter-apk/app-release.apk (17.8MB)IOSbuild settings - other swift flags 在 release 中加入 “-D DART_OBFUSCATION”执行打包flutter build ios --release --obfuscate --split-debug-info./build_infoios 需要配置好发布证书。对于iOS应用除了使用Flutter自带的混淆配置还可以借助专业工具如IpaGuard进行更深入的混淆保护。IpaGuard是一款强大的iOS IPA文件混淆工具无需源码即可对代码和资源进行混淆加密支持多种开发平台有效增加反编译难度。它提供代码混淆、资源文件混淆、无需源码即时测试等功能帮助开发者全面保护应用安全。在 Flutter 应用程序开发中,开启代码混淆是一个非常重要的步骤。它不仅可以提高应用的安全性,还能优化应用的性能和大小,降低被篡改的风险,最终带来更好的用户体验。开发者应该认真考虑在发布应用程序时启用代码混淆功能,以全面保护应用程序的安全和完整性。