Android App程序应用未校验签名证书——————《风险等级高》

已于 2023-12-20 13:08:02 修改
阅读量1.4k 收藏 27
点赞数 25
分类专栏: 开发技巧 Android控件的应用及使用场景 程序人生 文章标签: android
于 2023-12-20 12:54:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chen_md/article/details/135104996
版权
本文探讨了在Android应用中未校验签名证书的风险,包括盗版和恶意代码注入。提供了检测步骤和解决方案,包括使用代码检验APK签名以提升应用安全性。
摘要由CSDN通过智能技术生成

在这里插入图片描述

目录

应用签名未校验风险

1、检测目的

检测App程序启动时是否校验签名证书。

防止App的盗版率。未进行签名证书的App,可能被反编译后进行二次打包。

重新打包签名的应用,可能导致App被仿冒盗版,影响其合法收入,甚至可能被添加钓鱼代码、病毒代码、恶意代码,导致用户敏感信息泄露或者恶意攻击。

2、风险等级

高。

3、检测依据

《GBT28448-2019 信息安全技术 网络安全等级保护测评要求》,【移动应用管控】测评单元 (L3-CES3-04):应只允许指定证书签名的应用软件安装和运行。

【移动应用软件开发】测评单元 (L3-CMS3-04):应保证开发移动业务应用软件的签名证书合法性。

中国信息安全测评中心旗下“国家信息安全漏洞库“关联漏洞编号:CNNVD-201307-154;CVE-2013-4787《DL/T 2031-2019 电力移动应用软件测试规范》9.2.2.8.1 c)基于Android开发的移动应用应对签名信息进行安全校验。

4、风险描述

签名证书是对App开发者身份的唯一标识,开发者可利用签名证书有效降低App的盗版率。

未进行签名证书的App,可能被反编译后进行二次打包。

重新打包签名的应用,可能导致App被仿冒盗版,影响其合法收入,甚至可能被添加钓鱼代码、病毒代码、恶意代码,导致用户敏感信息泄露或者恶意攻击。

5、检测步骤

  1. 对应用APK包进行重新签名打包。
  2. 然后执行命令安装到android设备上,查看是否安装成功,同时启动重新签名的应用,根据运行日志和执行任务栈分析是否可以成功启动且未弹出任何警告信息,是,则存在风险;否,则安全

6、结果描述

如果App程序未对签名证书进行校验,被其他证书重新签名后可以照常启动。

日志信息:

--------- beginning of main
--------- beginning of system
12-19 09:21:57.693   113   304 I ActivityManager: START u0 {flg=0x10000000 cmp=com.harry.demo/.activity.WelcomeActivity} from uid 2000 on display 0
12-19 09:21:57.713   113   496 I ActivityManager: Start proc 16142:com.harry.demo/u0a58 for activity com.harry.demo/.activity.WelcomeActivity
12-19 09:21:58.476   113   496 I ActivityManager: Start proc 16183:com.harry.demo:ipc/u0a58 for service com.harry.demo/io.rong.imlib.ipc.RongService
12-19 09:21:58.518   113   495 I ActivityManager: Start proc 16205:io.rong.push/u0a58 for service com.harry.demo/io.rong.push.rongpush.PushService
12-19 09:21:59.048   113   134 I ActivityManager: Displayed com.harry.demo/.activity.WelcomeActivity: +1s346ms (total +1m43s74ms)
12-19 09:22:00.617   113   495 I ActivityManager: START u0 {cmp=com.harry.demo/.activity.WelcomeGuideActivity} from uid 10058 on display 0
12-19 09:22:00.998   113   134 I ActivityManager: Displayed com.harry.demo/.activity.WelcomeGuideActivity: +375ms

7、解决方案

App自行增加签名证书的校验代码或使用第三方签名校验保护功能,降低应用被二次打包的风险。

7.1、Android 检验 APK 是否签名的代码

在 Android 开发中,我们常常需要验证 APK 文件是否被正确签名。

APK 签名是一种保障应用安全性的重要方式,通过验证签名可以确保 APK 文件的完整性和来源。

下面将介绍如何在 Android 中使用代码来检验 APK 是否签名。

public class ApkSignatureVerifier {

    public static String md5(byte[] bytes) {
        try {
            MessageDigest md5 = MessageDigest.getInstance("MD5");
            byte[] digest = md5.digest(bytes);
            StringBuilder sb = new StringBuilder();
            for (byte b : digest) {
                sb.append(String.format("%02x", b & 0xff));
            }
            return sb.toString();
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
            return null;
        }
    }
}
7.2、检验APK签名

获取到 APK 的签名信息后,我们可以将其与预先保存的正确签名进行比较,来验证 APK 是否被正确签名。

public class WelcomeActivity extends BaseActivity {

    private static final String VALID_SIGNATURE = "69D4D6B18331A2B645286CC80435D605";

    @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        hideTitleBar();
        getWindow().addFlags(WindowManager.LayoutParams.FLAG_FULLSCREEN);

        try {
            String pkgName = getPackageName();
            PackageInfo mPkgInfo = getPackageManager().getPackageInfo(pkgName, PackageManager.GET_SIGNATURES);
            Signature[] signatures = mPkgInfo.signatures;
            for (Signature sign : signatures) {
                String md5 = ApkSignatureVerifier.md5(sign.toByteArray());
                Log.e("WelcomeActivity >>>", md5);
                assert md5 != null;
                // 不区分大小写
                if (md5.equalsIgnoreCase(VALID_SIGNATURE)) {
                    // APK 签名正确
                    Log.e("APK Signature", "正确");                 
                } else {
                    // APK 签名不匹配
                    Log.e("APK Signature", "不匹配");
                    ToastUtils.showShort(WelcomeActivity.this,"App签名不匹配");
                    finish();
                }
            }
        } catch (Exception e) {

        }
    }

    @Override
    protected View addContentLayout() {
        return getLayoutInflater().inflate(R.layout.activity_start, contentLayout, false);
    }
}

在以上示例代码中,我们将获取到的签名信息与一个预先保存的有效签名进行比较。如果签名匹配,则说明 APK 签名是有效的;如果签名不匹配,则说明 APK 签名是无效的。

8、结尾

通过以上代码示例,我们可以在 Android 开发中使用 Java 代码来检验 APK 是否签名。这样可以确保 APK 文件的完整性和来源,从而提高应用的安全性。

在实际开发中,我们可以将验证签名的逻辑应用在应用启动时或者下载 APK 文件后进行检验,以确保应用的安全性。

以上是关于 Android 检验 APK 是否签名的代码示例,希望能对你有所帮助!

在这里插入图片描述

拉莫帅
关注
  • 25
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android签名验证代码
04-17
Android签名过程的验证过程,及其签名里面文件的生成过程的代码
Android签名风险
05-04 242
Android签名概括: 在Android 系统中,所有安装到系统的应用程序都必有一个数字证书,这个数字证书就是这个应用签名。此数字证书用于标识应用程序的作者和在应用程序之间建立信任关系,如果一个 permission的protectionLevel为signature,那么就只有那些跟该p...
uniapp 打包加固后v2签名并且证书指纹校验(修复证书签名后换个证书重签还能使用app漏洞)方案
M_yI_Hg的博客
11-24 1402
v2签名使用的是android studio的apksigner,一般下载android studio 并安装完SDK后默认路径在C:\Users\用户名\AppData\Local\Android\Sdk\build-tools\33.0.0\lib。进入到C:\Users\用户名\AppData\Local\Android\Sdk\build-tools\33.0.0\lib目录下打开cmd。执行完命令后需要对对齐后的app加个apk后缀,不然加签的时候会报错。
Android逆向-基础与实践 (五) 签名校验
最新发布
shuwangyong的专栏
06-23 65
是开发者在数据传送时采用的一种校正数据的一种方式常见的校验有:签名校验(最常见)、dexcrc校验、apk完整性校验、路径文件校验等通过对 Apk 进行签名,开发者可以证明对 Apk 的所有权和控制权,可用于安装和更新其应用。而在 Android 设备上的安装 Apk ,如果是一个没有被签名的 Apk,则会被拒绝安装。在安装 Apk 的时候,软件包管理器也会验证 Apk 是否已经被正确签名,并且通过签名证书和数据摘要验证是否合法没有被篡改。只有确认安全无篡改的情况下,才允许安装在设备上。
android应用标签完善,Ionic Android进行签名校验验证-应用签名校验风险的讲解...
weixin_28697603的博客
05-26 894
Ionic签名校验验证1. 为什么要进行签名校验2. 查看安卓证书信息3. 编写检验文件3.1 编写校验文件`SignCheck.java`3.2 修改MainActivity.java3.3 其他方案4. 打包4.1 移除android平台4.2 增加android平台版本4.3 覆盖`MainActivity.java`4.4 使用证书进行打包5. 打包完成安装apk6. 加固原理1. 为什么...
三级等级保护之安全建设管理
千寻的博客
10-28 1014
文章目录通用要求定级和备案安全方案设计产品采购和使用自行软件开发外包软件开发工程实施测试验收系统交付等级测评服务供应商选择云计算扩展要求云服务商选择供应链管理移动互联安全移动应用软件采购移动应用软件开发 通用要求 定级和备案 a)应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由; b)应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定; c)应保证定级结果经过相关部门的批准; d)应将备案材料报主管部门和相应公安机关备案。 安全方案设计 a)应根据安全保护等级选择基本安全
Android APK安全漏洞的些许问题
W_DevilMayCry的博客
04-17 2152
引言 很久没有写博客,最近公司的一些老项目在接受安全检查的时候发现了很多的漏洞,说实话真的是被坑的挺难受的,再次记录一下。希望可以帮到碰到同样问题的猿友们。 1.Janus签名漏洞 为了提升安卓系统的安全性,Google发布了新的签名认证体系signature scheme V2。由于,signature scheme V2需要对App进行重新发布,而大量的已经存在的App APK无法使用V2校验...
Android安全漏洞总结
会飞的鱼儿的博客
02-25 3105
一、前言 在Android开发过程中,一般都不会太注重app的安全漏洞问题,除非遇到要求比较的公司或者有对app提供检测的机构进行检测,但是检测和加固的费用比较,所以一些app就忽略了这个问题,但是我最近做的app安全级别较,多个安全机构检测后会有如下问题,顺便说一下检测机构有很多,如360、蓝盾、梆梆等。 二、问题总结 应用签名校验风险 加入签名校验 应用数据任...
安卓应用签名校验
xiaomudouer的博客
03-15 1049
问题:app程序签名证书进行校验,被其他证书重新签名可正常启动 apk打包签名思路: Build -> Generate Signed Bundle/APK -> APK -> Create New 创建一个新的证书 (也可以选择一个已有的证书)->ok -> 选择生成的APK文件所在目录、选择apk版本 第1步就是我们打包的常规步骤 第2步用第三方梆梆软件加固 第3步将加固的apk进行第三方软件签名 将apk文件解压,在META-INF文件中可找到签名文件,文件后缀为.
信息安全技术网络安全等级保护基本要求GB/T 22239一2019(第二级安全要求)
看着博客敲代码
08-10 3066
第二级安全保护能力:应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能
Android APP常见风险及防护
技术超强的网络安全平台
09-17 1095
如果程序本身对运行时的内存没有做任何的保护措施,攻击者通过反编译对源代码进行分析,定位到可以程序外 Hook 类似操作的关键位置,完全不需要修改程序本身,当程序运行到敏感的界面 Activity 时,从程序外获取用户输入的证件号、姓名、手机号和密码等敏感的信息,并从内存中进行修改,尤其是对于涉及到支付等操作时,将严重威胁用户的财产安全。app被轻易的二次打包,很容易被攻击者添加恶意的代码或者添加广告,从而窃取登录账号密码、支付密码等,严重威胁用户隐私安全,也给公司的形象带来不利的影响。
基于NDK验签的方式实现APP签名校验方案
折翅鵬的博客
12-04 399
最近发现有人破解我们的应用,于是研究了一下如何在应用被破解以后,让应用退出的简单实现方案。
Android安全之应用签名验证
weixin_33910137的博客
04-28 351
Android安全之应用签名验证有时我们需要确保一个应用就是我们想要启动的那个应用,从而确保应用间通信的安全。这话听起来有点绕,下面以一个具体的例子来说明。假如一家公司A做了一个支付应用PayApp,包名是”com.testa.pay”。随着这个支付应用市场越做越大,他们希望将其接口开放给其他公司,以使自己的公司获得更多的现金流。首先,想要集成PayApp的公司B需要向公司A...
Android验证apk签名
zhengjuqiang的博客
04-26 2281
1.验证apk签名 打开待查看的apk,将其中META-INF文件夹解压出来,得到其中的CERT.RSA文件 $ keytool -printcert -file META-INF/CERT.RSA 2.apk打签名 jarsigner -verbose -keystore [keystorePath] -signedjar [apkOut] [apkIn] [
Apk 签名验证
contrary_的博客
11-26 2729
app进行反编译后修改,再回编译,若出现闪退的情况时,则有可能是由于程序本身已存在签名验证,才会出现闪退,今天分享如何解决因签名验证而出现的闪退现象。 v:13140310004 q:3251901516 1 阅读签名验证源码 1.打开文件 2.分析Java层,在调用init这个方法里面,是进行按钮以及其他控件的初始化 3.接下来是一个注册函数,判断用户名和密码是否相等,从而弹出不同的提示 4.LoginActivity类继承了BaseActivity,先分析BaseActivity这个类 5.分析onC
Android-APK:为何你的应用老是被破解,该如何有效地做签名校验
m0_63174618的博客
03-30 944
他替换掉了 Application 为他自己的,那么变化的太多了,Application 的类名 / 方法数 / 字段数 / AndroidManifast 中 Application 节点的 name,都会变。在学习 Application 的创建流程的时候可知(其实是我不会上网找的流程),另一个 LoadedApk 对象是通过 getPackageInfoNoCheck 方法创建的。只有具备这样的能力,架构师才能看清系统的整体,掌控全局,这也是架构师大局观的形成基础。
Android安全--运行时验证签名
7huaping的专栏
07-20 1194
我们都知道现在疯狂地利用dex2jar、apktool等工具进行的反编译二次打包,除了做代码混淆之外,我们还得做一些事情让他们难度上升,时间成本上升,当然这些都是简单的想法,还是能够被搞掉的,这些是防止那些自动工具破解。 思想是这样的:在运行时, android PackageManger允许我们得到已安装应用程序签名,利用检查签名的指纹,然后在程序中存上一个原装指纹可以放到此处,可以放到服务
等级保护测试】-移动互联安全扩展要求、云计算安全扩展要求-思维导图
Andy0214的专栏
08-13 5258
移动互联安全扩展要求 共计9个控制点,19条检测要求 云计算安全扩展要求 共计16个控制点,46条检测要求
Android app 安全
vivian的专栏
04-27 392
App安全 从一款被篡改的软件谈 Android App 的安全之路 《Android攻防实战》读书笔记——保护App安全 安全问题 APP安全问题 反编译 APK反编译 apk加固 Apk源码的加固(加壳)原理解析和实现 Android中的Apk的加固(加壳)原理解析和实现 Android中的Apk的加固(加壳)原理解析和实现 Android中对Nativ...
android开发获取应用本身耗电量_APP性能测试——Android
06-01
好的,让我来回答你的问题。 在 Android 应用开发中,获取应用本身的耗电量可以使用 Android 系统提供的 BatteryStats API。这个 API 可以提供应用程序的 CPU 使用率、网络使用率、传感器使用率等信息,从而计算出应用程序的耗电量。 以下是获取应用程序耗电量的基本步骤: 1. 获取电量统计信息 使用 BatteryManager 类的 getBatteryUsageStats() 方法获取电量统计信息。这个方法返回一个 BatteryUsageStats 对象,其中包含了应用程序的电量使用情况。 2. 获取应用程序 UID 使用 ApplicationInfo 类的 uid 属性获取应用程序的 UID。 3. 获取应用程序的电量使用情况 使用 BatteryUsageStats 类的 getAppUsageStats() 方法获取应用程序的电量使用情况。这个方法返回一个 AppUsageStats 对象,其中包含了应用程序的 CPU 使用率、网络使用率、传感器使用率等信息。 4. 计算应用程序的耗电量 通过分析 AppUsageStats 对象中的数据,可以计算出应用程序的耗电量。 关于 APP 性能测试,可以使用 Android Studio 自带的 Profiler 工具进行测试。Profiler 可以帮助开发者监控应用程序的 CPU 使用率、内存使用率、网络使用率等信息,从而进行性能测试和优化。同时,还可以使用第三方工具,如 Apache JMeter、LoadRunner 等进行压力测试,以测试应用程序的并发访问能力和稳定性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值