技术探析Android安全有多弱，从鳄鱼爱洗澡致300万用户中毒说开去～

今天看到《鳄鱼爱洗澡成病毒载体 致300万用户中毒》这篇报道中说到：

此次入侵《鳄鱼爱洗澡》的病毒为“反动联盟2病毒（a.fraud.eyu）”。不同于以往的恶意广告，“反动联盟2病毒”将恶意代码植入十余个版本的《鳄鱼爱洗澡》游戏中。一旦激活则会攻击指定的手机安全软件，还会在通知栏弹广告，私自下载应用，耗费用户流量。WiFi情况下还好说，若是GPRS或3G状态下，则很容易导致用户手机欠费停机。目前，据保守估计，此次受“反动联盟2病毒”感染的Android用户数接近300万。

一时间，大家开始批判Android的安全性，比如：
@陈昊芝：小鳄鱼爱洗澡Android没有官方发行版本，所以第三方渠道都是盗包，加一些不该加的东西。愤怒的小鸟也样，多数渠道能搜索到30几个版本，都是盗包发布。最终用户无法分辨，越来越像PC市场了，比的是谁更没底线

@费西FISH：android第三方市场盗包太严重了，损害的是整个android产业链。

还有更多的讨论，大家可以移步这里：
http://weibo.com/1644687644/yqSlFdhSH?type=repost#1341382455878

抛开所有的质疑和偏见，这个事情我们可以从技术层面探讨下，和 @我是码农 @橙子Infinity @李宁_Lining 等android技术牛们讨论了下，大家的结论是：
android的apk文件基本可以修改，一般的步骤是：反编译，修改（xml，组件，源代码），重新编译，重新签名, 发布

按照操作的复杂度，依次如下:
1. 解包（只是zip包），使用里面的资源文件，比如图片等；
2. 最简单的是直接修改xml，比如替换原有广告代码的ad_key来替换掉别人的广告；
3. 可以加入自己写的组件，比如service等，用这个方法来移入广告平台，比如：使用某个软件几次后，就强出点击广告获得积分才能继续的界面。
4. 如果smali功力不错，连java都可以修改。

很多人也问，如何防范，如何杜绝？
按照俺们技术的思路给出的答案是：基本无解！但是可以使用代码混淆提高下被反编译的难度。
目前为止唯一可以依靠的就是：底线！！

除此之外，到底android在哪些地方存在不安全，这些不安全会被怎么怎么利用？又该如何防范？
大家可以深入探讨下。

除此之外，到底android在哪些地方存在不安全，这些不安全会被怎么怎么利用？大家可以探讨下。

本文作者： Iceskysl@eoe
本文地址：技术探析Android安全有多弱，从鳄鱼爱洗澡致300万用户中毒说开去～