在移动安全领域,“二次打包”是 iOS 应用遭遇的最现实威胁之一。尽管 iOS 的安全体系比 Android 严格得多,但只要攻击者获取到 IPA,仍然可以:

  • 重新签名(企业证书 / 越狱环境)
  • 篡改资源文件(JS、H5、json、图片、配置)
  • 注入恶意代码(动态库添加)
  • 调整网络请求、Hook 核心逻辑
  • 将修改后的 App 伪装成原版进行分发

因此,“防止 iOS 应用被二次打包”并不等于某个单点措施,而是需要一套覆盖 符号层、资源层、运行时层、签名层、完整性校验层、混淆层 的组合安全体系。

本文给出一套可在实际项目中落地的工程方案,适合原生、Flutter、H5、Hybrid 各类架构。

一、二次打包通常是怎么发生的?

攻击者的常见操作步骤:

  1. 解包原始 IPA
  2. 修改资源(图标、H5、JS 或敏感业务流程)
  3. 替换网络接口或注入业务逻辑
  4. 添加自定义动态库
  5. 重签名(不用 App Store 也能装进越狱机或企业分发)
  6. 伪装名称重新分发
  7. 用户误以为是官方版本进行下载

你会发现:

  • 就算原生代码强,加密算法强
  • 只要资源明文暴露,就能被篡改
  • 只要 IPA 可以重签,就能被伪造
  • 只要符号可读,就能轻易定位关键逻辑

因此需要多层防护。

二、防止二次打包 = 多层组合,而非“一个加固工具”

下面介绍的工具矩阵是完整解决方案的基础。

防护层 使用工具 目的
静态分析 MobSF / class-dump 找出可被轻易篡改的位置
成品混淆 Ipa Guard CLI 混淆符号、扰乱资源、修改 MD5
资源保护 Ipa Guard、脚本工具 防止图片/H5/JS 被替换
完整性校验 自研校验模块 检测注入、资源修改
重签验证 kxsign 检查二次打包是否改变结构
运行时对抗 Frida 检测、反调试策略 防止 Hook 和注入
上线后治理 KMS、Bugly/Sentry 绑定签名与构建号,保证可回滚

以下是可直接应用的工程实践方案。

三、工程化流程:如何真正减少二次打包风险?

① 使用 MobSF 与 class-dump 检查暴露面

检查:

  • JS/H5 路径是否明文
  • JSON / 配置文件是否可替换
  • Swift/ObjC 方法是否过度暴露
  • 插件桥接方法是否可被 Hook

示例:

class-dump app.ipa > symbols.txt

输出的数据将指导后续混淆白名单策略。

② 使用 Ipa Guard 导出可混淆符号

即使没有源码,也可以通过成品 IPA 分析和保护。

1ipaguard_cli parse app.ipa -o sym.json

会得到一份包含:

  • Swift/ObjC 类和方法列表
  • 文件引用信息
  • 字符串引用
  • 是否可混淆字段

这一步是混淆策略的基础。

③ 编辑混淆策略(最关键一步)

混淆策略要考虑:

哪些必须保留?

  • Storyboard id
  • JS/H5 的桥接方法
  • SDK 初始化方法
  • 依赖反射的 selector
  • Flutter 字符串通道名
  • React Native 桥接方法

哪些可以混淆?

  • 内部业务逻辑
  • Swift 和 ObjC 的非外部方法
  • 自定义组件
  • 数据处理模块
  • 容易被逆向定位的关键方法

修改规则:

  • confuse:false 保留
  • confuse:true 混淆
  • refactorName 必须长度保持一致

④ 执行 IPA 混淆与资源扰动(防篡改、防替换)

核心命令:

1ipaguard_cli protect app.ipa -c sym.json --email dev@team.com --image --js -o protected.ipa

保护能力:

Swift/ObjC 方法名替换
类名重写
资源名称混淆
图片 MD5 扰动(使替换失效)
H5/JS 重命名(Hybrid 必须)
修改结构,干扰二次打包流程

混淆后的资源没有统一名称,攻击者难以判断哪些资源对应哪些逻辑。

⑤ 重签名并测试

测试混淆是否破坏功能。

1kxsign sign protected.ipa -c dev.p12 -p pwd \
2  -m dev.mobileprovision -z signed.ipa -i

验证:

  • 启动与运行
  • 登录逻辑
  • JS/H5 加载
  • Flutter/插件是否正常工作
  • 推送、支付是否正常
  • 配置文件读取是否正常

⑥ 运行时对抗(进一步提高二次打包成本)

包含:

1. Frida 动态检测

frida -U -f com.app --no-pause -l detect.js

检查:

  • 是否能轻易 Hook
  • 是否能注入自定义模块
  • 私有 API 是否可被调用

2. 基础反调试策略

(实现方式略,工程团队自有方案)

  • ptrace
  • sysctl 检测调试器
  • 检测越狱环境
  • 检测动态库注入

这些策略极大提升二次修改的难度。

⑦ 完整性校验体系(可选但强烈建议)

常见做法包括:

  • 校验资源文件 MD5
  • 校验核心业务模块哈希
  • 检测 main bundle 结构是否被修改
  • 检测签名与构建号是否匹配

配合 Ipa Guard 的 MD5 扰动效果更佳。

⑧ 混淆映射治理(保证正常运行与回滚能力)

存储内容:

  • 混淆映射表
  • sym.json
  • 构建号
  • IPA 的签名指纹

存放方式:

  • KMS/HSM
  • 加密 Git 仓库
  • 部署流水线绑定

用于:

  • 崩溃符号化
  • 安全部署审计
  • 一键回滚

防止二次打包靠“组合拳”,而不是某个工具

最终推荐方案:

分析层

MobSF
class-dump

加固层(核心)

Ipa Guard CLI

  • IPA 符号混淆
  • 资源名称扰动
  • H5/JS 路径保护
  • 图片 MD5 干扰
  • 无需源码即可使用

验证层

kxsign(重签安装)
Frida(Hook/注入测试)
Hopper/IDA(查看混淆效果)

策略与治理层

完整性校验
KMS 映射治理
Bugly/Sentry 符号化

只有当这些层协同工作时,二次打包的成本才会变得“不值得”。