AndroidでのProGuard 使い方

< ProGuardとは >

AndroidアプリはJavaで書かれていますが、逆コンパイルすると簡単にソースコードが見えてしまいます。そのため難読化してリバースエンジニアリング(ソフトウエアを解析すること)を難しくする対策が必要です。リバースエンジニアリングされると重要なアルゴリズムやパスワードが盗用される恐れがあります。(参考サイト:Java の難読化ツール。Androidアプリの配布パッケージapkの解析について

ProGuard は、AndroidにADT r8 から標準で Android SDK に組み込まれた難読化ツールで、無償で利用できます。圧縮、最適化、難読化、事前検証の4つの機能があります。Googleは「ProGuardは完全にオプションとして動作するが、適用を強くおすすめする」としています。(参考サイト:Androidとセキュリティ:Android 2.3(Gingerbread) SDKに標準搭載されたProGuardを試す最適化ツール最新版”ProGuard 4.0″登場 – Java 6への検証機能導入

ProGuard は、使われていないクラス・メソッド・変数を削除したり、バイトコードを最適化したり、クラスやメソッド名を無意味化したりします。元のクラス、メソッド、変数名が1~2文字程度の英字にリネーム(置き換え)され、名前から機能を推測され難くなります。(参考サイト:Androidアプリの普及で解読・改ざんの懸念が浮上

ただし、「AndroidManifest.xmlファイルのみから参照されているクラス」「JNIから呼び出されるメソッド」「動的参照される変数やメソッド」「WebViewでJavaScript から呼ぶメソッド」などについてコンフィグファイル(設定ファイル)で調整しないと、難読化でエラーになることがあります。参考サイトを記します。

ProGuardを使用しても、処理の流れや定数文字列等は読めてしまうので、ある程度の内容は推測できます。定数の中身やxmlファイルはProGuard で難読化されないので、パスワードなどを平文で含めるのは危険です。参考サイトを記します。

 

< ProGuard を利用するには >

Android プロジェクトを作成すると、プロジェクトのルートディレクトリに「project.properties」ファイルと「proguard-project.txt」ファイルが自動生成されます。「project.properties」ファイルは、デフォルトではコンフィグファイルの指定がコメントアウト(コメント化して一時的に機能しないようにした状態)されています。コメントアウトを外すことでProGuard が有効になります。(参考サイト:Proguard

# This file is automatically generated by Android Tools.
# Do not modify this file -- YOUR CHANGES WILL BE ERASED!
#
# This file must be checked in Version Control Systems.
#
# To customize properties used by the Ant build system edit
# "ant.properties", and override values to adapt the script to your
# project structure.
#
# To enable ProGuard to shrink and obfuscate your code, uncomment this (available properties: sdk.dir, user.home):
#proguard.config=${sdk.dir}/tools/proguard/proguard-android.txt:proguard-project.txt

# Project target.
target=android-18


#proguard.config=${sdk.dir}/tools ~ の行頭の#を削除し、コメントアウトを外します。

# This file is automatically generated by Android Tools.
# Do not modify this file -- YOUR CHANGES WILL BE ERASED!
#
# This file must be checked in Version Control Systems.
#
# To customize properties used by the Ant build system edit
# "ant.properties", and override values to adapt the script to your
# project structure.
#
# To enable ProGuard to shrink and obfuscate your code, uncomment this (available properties: sdk.dir, user.home):
proguard.config=${sdk.dir}/tools/proguard/proguard-android.txt:proguard-project.txt

# Project target.
target=android-18

これで、Eclipseで対象のAndroidアプリケーションプロジェクトを右クリック→「Androidツール」→「署名アプリケーション・パッケージのエクスポート…(Export Signed Application Package…)」をクリックして署名するとProGuard が働きます。

ProGuard が実行されるのはアプリケーションをリリースビルドする時だけなので注意が必要です。デバッグビルドでエラーが無かったものでも、リリースビルドしたアプリにエラーが発生する可能性があります。ProGuard を適用したapkファイルでのテストが必要です。(参考サイト:ProGuard

<ADT r17 より前のProGuard >

r17 以降の ADT 使用でプロジェクトのルートディレクトリに自動生成されるProGuard関連ファイルは「project.properties」ファイルと「proguard-project.txt」ファイルですが以前は異なりました。r13 までは、「default.properties」ファイルと「proguard.cfg」ファイル、r14 ~ r16 では、「project.properties」ファイルと「proguard.cfg」ファイルという組み合わせでした。

以下は「project.properties(default.properties)」ファイルだった時の内容です。(参考サイト:Androidアプリのソースコード難読化ツールProGuardを使う

# This file is automatically generated by Android Tools.
# Do not modify this file -- YOUR CHANGES WILL BE ERASED!
#
# This file must be checked in Version Control Systems.
#
# To customize properties used by the Ant build system use,
# "build.properties", and override values to adapt the script to your
# project structure.

# Project target.
target=android-4
proguard.config=proguard.cfg

以下は「proguard.cfg」ファイルだった時の内容です。「AndroidManifest.xml」ファイルで指定するActivity などのクラス名、JNIから呼び出されるnativeメソッド、Layoutエディタで使用するViewのコンストラクタなどを難読化の対象外としています。

-optimizationpasses 5
-dontusemixedcaseclassnames
-dontskipnonpubliclibraryclasses
-dontpreverify
-verbose
-optimizations !code/simplification/arithmetic, !field/*, !class/merging/*

-keep public class * extends android.app.Activity
-keep public class * extends android.app.Application
-keep public class * extends android.app.Service
-keep public class * extends android.content.BroadcastReceiver
-keep public class * extends android.content.ContentProvider
-keep public class * extends android.app.backup.BackupAgentHelper
-keep public class * extends android.preference.Preference
-keep public class * extends android.content.BroadcastReceiver
-keep public class com.android.vending.licensing.ILicensingService

-keepclasseswithmembernames class * {
    native ;
}

-keepclasseswithmembernames class * {
    public (android.content.Context, android.util.AttributeSet);
}

-keepclasseswithmembernames class * {
    public (android.content.Context, android.util.AttributeSet, int);
}

-keepclassmembers class * extends android.app.Activity {
    public void *(android.view.View);
}

-keepclassmembers enum * {
    public static **[] values();
    public static ** valueOf(java.lang.String);
}

-keep class * implements android.os.Parcelable {
    public static final android.os.Parcelable$Creator *;
}

< ADT r17 以降のProGuard >

ADT r17 からは「${sdk.dir}/tools/proguard/proguard-android.txt」ファイルと、プロジェクトのルートディレクトリに生成される「proguard-project.txt」ファイルに分かれました。コンフィグファイルの拡張子が「.cfg」から「.txt」になったのは、設定内容がテキストファイルであること、Eclipseやファイルエディタからダブルクリックするだけで変更できるからということのようです。参考サイトを記します。

 

以下は「${sdk.dir}/tools/proguard/proguard-android.txt」ファイルの内容です。

# This is a configuration file for ProGuard.
# http://proguard.sourceforge.net/index.html#manual/usage.html

-dontusemixedcaseclassnames
-dontskipnonpubliclibraryclasses
-verbose

# Optimization is turned off by default. Dex does not like code run
# through the ProGuard optimize and preverify steps (and performs some
# of these optimizations on its own).
-dontoptimize
-dontpreverify
# Note that if you want to enable optimization, you cannot just
# include optimization flags in your own project configuration file;
# instead you will need to point to the
# "proguard-android-optimize.txt" file instead of this one from your
# project.properties file.

-keepattributes *Annotation*
-keep public class com.google.vending.licensing.ILicensingService
-keep public class com.android.vending.licensing.ILicensingService

# For native methods, see http://proguard.sourceforge.net/manual/examples.html#native
-keepclasseswithmembernames class * {
    native ;
}

# keep setters in Views so that animations can still work.
# see http://proguard.sourceforge.net/manual/examples.html#beans
-keepclassmembers public class * extends android.view.View {
   void set*(***);
   *** get*();
}

# We want to keep methods in Activity that could be used in the XML attribute onClick
-keepclassmembers class * extends android.app.Activity {
   public void *(android.view.View);
}

# For enumeration classes, see http://proguard.sourceforge.net/manual/examples.html#enumerations
-keepclassmembers enum * {
    public static **[] values();
    public static ** valueOf(java.lang.String);
}

-keep class * implements android.os.Parcelable {
  public static final android.os.Parcelable$Creator *;
}

-keepclassmembers class **.R$* {
    public static ;
}

# The support library contains references to newer platform versions.
# Don't warn about those in case this app is linking against an older
# platform version.  We know about them, and they are safe.
-dontwarn android.support.**

以下はプロジェクトのルートディレクトリに生成される「proguard-project.txt」ファイルの初期状態です。

# To enable ProGuard in your project, edit project.properties
# to define the proguard.config property as described in that file.
#
# Add project specific ProGuard rules here.
# By default, the flags in this file are appended to flags specified
# in ${sdk.dir}/tools/proguard/proguard-android.txt
# You can edit the include path and order by changing the ProGuard
# include property in project.properties.
#
# For more details, see
#   http://developer.android.com/guide/developing/tools/proguard.html

# Add any project specific keep options here:

# If your project uses WebView with JS, uncomment the following
# and specify the fully qualified class name to the JavaScript interface
# class:
#-keepclassmembers class fqcn.of.javascript.interface.for.webview {
#   public *;
#}


アプリ固有の設定がある場合はこのファイルに記述します。
例えばAdMobを利用しているアプリでは次のように設定を追記します。(参考サイト:proguardを使うAndroidメディエーションSDK

# To enable ProGuard in your project, edit project.properties
# to define the proguard.config property as described in that file.
#
# Add project specific ProGuard rules here.
# By default, the flags in this file are appended to flags specified
# in ${sdk.dir}/tools/proguard/proguard-android.txt
# You can edit the include path and order by changing the ProGuard
# include property in project.properties.
#
# For more details, see
#   http://developer.android.com/guide/developing/tools/proguard.html

# Add any project specific keep options here:

# If your project uses WebView with JS, uncomment the following
# and specify the fully qualified class name to the JavaScript interface
# class:
#-keepclassmembers class fqcn.of.javascript.interface.for.webview {
#   public *;
#}
-keep public class com.google.ads.** {
    public protected *;
}

< ProGuard の命令の意味 >

主な命令の意味は以下の通りです。(参考サイト:ProGuardマニュアル (1) はじめに/利用方法ProGuardを使っての難読化方法ProGuardで-keepオプションのメモProGuard公式

オプション 意味
optimizationpasses 最適化の処理回数の指定。デフォルトは1回。複数回実施することで処理結果の向上が期待できます。apkファイルのサイズに影響します
dontoptimize 最適化を行わない
dontusemixedcaseclassnames 最適化処理で大文字と小文字を混ぜたクラス名に変更しない。Windows環境でこのオプションを指定しないと、ファイル名の大文字小文字の区別がされないため上書きされる可能性がある
dontskipnonpubliclibraryclasses 非publicなライブラリクラスをスキップしないようにする
dontpreverify 処理済みファイルの事前検証を行わないようにし、VMの読み取り速度を高速化する
dontwarn 警告を握りつぶす。警告の原因が明らかで無視してもよい場合は記述してよいが、それ以外は根本解決とならず危険
verbose 処理中の情報を詳しく書き出す
optimizations 最適化対象

  • !code/simplification/arithmetic → 算術命令に対してヒープホール最適化を行わない
  • !field/* → fieldで始まるすべてのフィルタを除外する。
  • !class/merging/* → クラス階層においてクラスのマージを行わない。
keep クラスとクラスメンバをリネーム、削除しない
keepnames クラスとクラスメンバをリネームしない
keepclassmembers クラスメンバをリネーム、削除しない
keepclassmembernames クラスメンバをリネームしない
keepclasseswithmembers クラスメンバが存在した場合のクラスとクラスメンバをリネーム、削除しない
keepclasseswithmembernames クラスメンバが存在した場合のクラスとクラスメンバをリネームしない

< ProGuard で生成されるファイル >

ProGuardが有効になった状態でビルドすると、「Proguard」フォルダが作成され、「dump.txt」「mapping.txt」「seeds.txt」「usage.txt」ファイルが生成されます。

「dump.txt」ファイルには、すべてのクラスの内部構成がリストされます。

「mapping.txt」ファイルには、オリジナルと難読化されたクラス、メソッド、およびファイル名との間のマッピングがリストされます。バグレポートを受け取った際に、難読化されたスタックトレースをオリジナルのクラス、メソッド、およびメンバー名に翻訳することができる重要なファイルとなるので、リリースバージョンごとに管理しておくと役立ちます。参考サイトを記します。

「seeds.txt」には、難読化されていないクラスとメンバーがリストされます。keep オプションの確認に使用できます。

「usage.txt」には、apk ファイルから除外されたコードが記載されます。ProGuard の実行後は必ずこのファイルを確認し、必要なものが削除されていないかチェックするとよいでしょう。

参考にしたサイトを以下に記します。

以上です。

Android 4.4のコードネームは「KitKat」 とな!

Android 4.4 「Key Lime Pie(キーライムパイ)」から「KitKat」へ変更になったんですね。

まだ、Android SDK マネージャーには現れていないようです。