检测ipa包存在篡改和二次签名打包的风险 才能通过检测? 大佬们给几个已经过时的写法也行啊 只是应付检测

篡改和二次打包风险
|危险等级|高|

应用篡改后二次打包不仅已经严重危害开发者版权和经济利益,而且也使app用户遭受到不法应用的恶意侵害。对客户端程序添加或修改代码,修改客户端资源图片,配置信息、图标,添加广告,推广自己的产品,再生成新的客户端程序,可导致大量盗版应用的出现分食开发者的收入;恶意的二次打包还能实现应用钓鱼、添加病毒代码、添加恶意代码,从而窃取登录账号密码、支付密码,拦截验证码短信,修改转账目标账号、金额等等|

|测评结果描述|该App中存在篡改和二次签名打包的风险|

|解决方案| 开发者自查:增加程序检测防止二次签名|

我对这安全方面不太懂,麻烦请教下大佬们如何检测二次签名
目前网上找到的方法就下面几种 大佬们给几个已经过时的法子让老弟过检测吧 我感觉检测不太聪明的样子
1.判断是否越狱
2.判断Mach-O文件否被篡改 SignerIdentity(修改二进制文件)
3.重签名检测 检查 embedded.mobileprovision 里面的teamID或者BundleID 是否变化

直接把第三方检测的报告复制上来了都,看来是真不会了 :joy:

…这报告基本没啥信息吧 就是让你想办法检测IPA的完整性 大佬教教我啊

这是逆向交流论坛,你要问怎么破,可能还有人回答你,但是你要问怎么防,说出来不是又被逆向逆了 :rofl: :rofl: :rofl:,大厂来这里观察的大佬们从来都不说话 :upside_down_face:

…无解 大佬找那种收钱的加固能应付检测吗

自己写代码20分钟,第三方加固几万。Your choice

老弟这不是水平有限不会写吗… :joy: 我也是为了应付测试啊

楼主找到解决方案了吗?我这边也遇到这个问题了,求解决方案

百度一大堆呀

二次签名必须破壳,检测破壳状态。
我很好奇这个检测机构是怎么检测的,人工攻击app看结果?

楼主有解决方案吗?回复一下好吗

你好 大佬 请问检测ipa包存在篡改和二次签名打包的风险你有解决方案吗

不会真有人白嫖吧

不是,我在网上找了很多第三方加固的公司,他们只提供代码混淆以及反编译,不提供防止篡改和二次打包签名,所以想问问大佬