MobSF 分析 Split APK 时遇到的资源解析问题解析

问题背景

在使用 MobSF（Mobile Security Framework）进行 Android 应用安全分析时，部分从 Google Play 商店下载的应用会出现解析错误。具体表现为分析过程中抛出"Exception for the parsers. res1 must be zero!"异常，并伴随 KeyError: 'resources.arsc' 错误。

问题根源

经过深入分析，发现这一问题主要出现在以下两种场景：

1. Split APK 场景：当分析从 Google Play 商店下载的 Split APK（分体式 APK）时，部分应用会出现资源解析失败的情况。Split APK 是 Google Play 引入的一种应用分发机制，它将一个完整的应用拆分为多个 APK 文件，每个文件包含应用的不同部分（如不同架构、语言或功能模块）。

2. Google Play 生成的归档 APK：即使是单个 APK，如果是通过 Google Play 控制台生成的归档 APK，也可能出现此问题。这表明问题可能与 Google Play 使用的 bundle tool 版本或打包方式有关。

技术细节

问题的核心在于 Androguard（MobSF 使用的 Android 应用分析库）的资源解析机制。当尝试获取 Android 应用的资源时，代码会访问 APK 中的 resources.arsc 文件，但在某些情况下：

1. 该文件可能不存在于预期的位置
2. 文件结构可能不符合 Androguard 的预期格式
3. 资源索引可能采用了新的组织方式

具体错误发生在 Androguard 的 get_android_resources() 方法中，当尝试访问 self.arsc["resources.arsc"] 时抛出 KeyError 异常。

解决方案

针对这一问题，MobSF 开发团队已经采取了以下措施：

1. 异常处理增强：在代码中添加了更完善的异常处理机制，确保即使资源解析失败，分析过程也能继续执行其他安全检查。

2. 上游修复协调：已经向 Androguard 项目提交了相关问题报告，等待上游修复后集成到 MobSF 中。

3. 临时解决方案：对于遇到此问题的用户，可以尝试以下方法：

   • 使用 APK 合并工具将 Split APK 合并为单个 APK 后再进行分析
   • 使用 Gradle assemble 任务直接生成的 APK 而非 Google Play 生成的归档 APK

最佳实践建议

1. 分析前准备：

   • 确认 APK 来源，优先使用开发构建的 APK 而非商店下载的 APK
   • 对于 Split APK，考虑使用合并工具预处理

2. 环境配置：

   • 保持 MobSF 及其依赖库（特别是 Androguard）为最新版本
   • 关注官方更新日志，及时获取问题修复

3. 结果解读：

   • 当遇到资源解析错误时，注意分析报告中的其他部分可能仍然有效
   • 资源解析失败可能会影响某些依赖资源信息的检测项，需要人工复核

总结

MobSF 作为一款强大的移动应用安全分析框架，在不断适应 Android 生态系统的变化。Split APK 和新的打包方式带来的资源解析问题，反映了移动应用分发机制的演进对安全分析工具提出的新挑战。通过社区协作和持续改进，这类问题将得到有效解决，使 MobSF 能够更好地服务于移动应用安全分析领域。