APP安全之APK完整性校验

最新推荐文章于 2023-09-01 03:22:31 发布
最新推荐文章于 2023-09-01 03:22:31 发布
阅读量4.7k 收藏 1
点赞数
分类专栏: Android开发知识点
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lk_0x00/article/details/79394790
版权

做android版本升级的功能 一般都是将apk下载到手机本地文件路径 然后用户选择是否直接安装 如果用户选择稍后安装 此时另一个apk 修改成相同的文件名  可能会存在安全性问题 所以需要对apk进行验证。

APP安全之APK完整性校验

前言

APK 完整性校验,虽然很难做到绝对的安全,但能提高应用的安全性和破解难度。

一、认识APK安全性

危害

可以通过修改客户端文件篡改客户端行为。攻击者可以让客户端显示自己制作的钓鱼网站,偷取用户信息

二、完整性校验原理

完整性校验的几种方式

  1. CRC校验
  2. MD5值校验
  3. SHA1值校验

常见android完整性检测

  1. 检测签名
  2. 校验classes.dex
  3. 校验整个apk

检测签名

Android对每一个Apk文件都会进行签名,在Apk文件安装时,系统会对其签名信息进行比对,判断程序的完整性,从而决定该Apk文件是否可以安装,在一定程度上达到安全的目的。

  1. MANIFEST.MF:这是摘要文件。程序遍历Apk包中的所有文件(entry),对非文件夹非签名文件的文件,逐个用SHA1生成摘要信息,再用Base64进行编码。如果你改变了apk包中的文件,那么在apk安装校验时,改变后的文件摘要信息与MANIFEST.MF的检验信息不同,于是程序就不能成功安装。
  2. CERT.SF:这是对摘要的签名文件。对前一步生成的MANIFEST.MF,使用SHA1-RSA算法,用开发者的私钥进行签名。在安装时只能使用公钥才能解密它。解密之后,将它与未加密的摘要信息(即,MANIFEST.MF文件)进行对比,如果相符,则表明内容没有被异常修改。
  3. CERT.RSA文件中保存了公钥、所采用的加密算法等信息。系统对签名文件进行解密,所需要的公钥就是从这个文件里取出来的。 
    这三个文件在apk META-INFO文件夹

结论:从上面的总结可以看出,META-INFO里面的说那个文件环环相扣,从而保证Android程序的安全性。(只是防止开发者的程序不被攻击者修改,如果开发者的公私钥对对攻击者得到或者开发者开发出攻击程序,Android系统都无法检测出来。)

虽然系统通过以上方式可以防止,但如果是root的手机就不安全了,建议通过服务器来校验,

校验classes.dex

用crc32对classes.dex文件的完整性进行校验

public class MainActivity extends Activity {

@Override

protected void onCreate(BundlesavedInstanceState) {

    super.onCreate(savedInstanceState);

    setContentView(R.layout.activity_main);

    String apkPath = getPackageCodePath();

    Long dexCrc = Long.parseLong(getString(R.string.classesdex_crc));
    //建议将dexCrc值放在服务器做校验

    try

    {

        ZipFile zipfile = new ZipFile(apkPath);

        ZipEntry dexentry = zipfile.getEntry("classes.dex");

        Log.i("verification","classes.dexcrc="+dexentry.getCrc());

        if(dexentry.getCrc() != dexCrc){

        Log.i("verification","Dexhas been modified!");

        }else{

        Log.i("verification","Dex hasn't been modified!");

        }

    } catch (IOException e) {

     // TODO Auto-generated catch block

     e.printStackTrace();

    }

   }

}

校验整个apk

用哈希值对整个apk完整性进行校验

我们将把crc值和sha1值放在服务器做处理

 

lk_0x00
关注
专栏目录
Android APP应用完整性检查
SunJ3t的菠萝屋
08-09 5211
1. 前言 APK应用完整性即移动客户端程序安装后,在每次启动时都会对自身文件进行完整性进行校验。防止攻击者通过反编译的方法在客户端程序中植入自己的木马,客户端程序如果没有自校验机制的话,攻击者可能会通过篡改客户端程序窃取手机用户的隐私信息。 2. APK应用完整性检查 1. 使用Apktools反编译APK文件 进入apktool文件夹下,输入以下命令,反编译apk文件 apktool d xx...
android app 验证完整性
最新发布
weixin_42511315的博客
08-16 70
我整理的一些关于【Java】的项目学习资料(附讲解~~)和大家一起分享、学习一下:https://d.51cto.com/bLN8S1Android App 验证完整性 在当前数字化时代,Android应用程序(App)的安全性显得尤为重要。应用程序的完整性验证不仅可以防止恶意修改,还可以提升用户信任感。本文将介绍And...
apk完整性校验-防反编译
GB1183710114的博客
12-26 2040
apk完整性校验、文件校验、防反编译
apk应用完整性校验
xianjie0318的博客
07-12 720
java -jar apktool.jar b -f 待打包的文件夹 -o 输出 apk 路径 用 SignApk,对未签名的 APK 文件进行签名,命令如下: java -jar signapk.jar testkey.x509.pem testkey.pk8 待签名 apk 文件路径 签名后输出 apk 路径。用 ApkTool,将解包目录重新打包成未签名的 APK 文件,命令如下: java -jar apktool.jar b -f 待打包的文件夹 -o 输出 apk 路径。
Android升级apk签名文件校验
WeLoveSunFlower的专栏
05-12 1497
升级apk流程:从服务器下载更新的apk----对apk校验----安装apk 本文讲一下对apk做签名文件校验,实际上就是获取本机已安装apk的签名和从服务器下载的apk的签名,计算两个签名文件的MD5,如果MD5一样,就说明签名文件正确。 boolean sigMd5 = veritySignature(getUpdateApkName(), downloadpath + filename); private boolean veritySignature(String pkgName, String
Android中如何进行签名校验完整性校验
热门推荐
Martin.Mu `s Special Column
11-27 1万+
前言 签名校验完整性校验主要是针对于二次打包的检测防范措施,如果没有签名校验完整性校验功能,应用可能被恶意攻击者二次打包,被盗版的风险大大增加,同时也可能进行任意代码修改。 针对上面的问题,这章我们就对我们的App进行运行时签名校验。 准备 项目代码 项目代码的主要实现类SignatureChecker,欢迎查看。 验证默认签名信息 1.获取应用的APK 在编写好项目以后,我们通过点击bui...
文件完整性校验
weixin_30799995的博客
02-20 1万+
造冰箱的大熊猫@cnblogs 2019/2/20 emmmm,在这里把文件完整性校验相关的信息汇总一下 1、什么是文件完整性校验 所谓文件完整性校验就是对文件“验明正身”。攻击者会将恶意代码添加到某个受大众欢迎的软件中,然后发布到网络上。当用户下载并使用这种被篡改过的软件时,计算机病毒或者木马程序就会悄然进入用户的计算机。检验文件的完整性,就是检查下载到的软件是否被篡改过。 ...
跨平台应用开发进阶(五十二):安全合规之Android APP完整性校验机制探究
IT全栈 华强工作室
09-08 3887
Android系统开放免费,开发者和用户都趋之若鹜。用户已经习惯了Android应用的这种免费午餐,但背后却隐藏着巨大的安全隐患。在对APP进行渗透测试时,要求提供APP是否具备完整性校验机制,防止被重签名和二次打包(采用混淆、验证签名、服务器端验证等技术防范二次打包等;)注⚠️:APK的唯一标识取决于包名和签名。
移动安全(4) - Android应用完整性校验
菜鸟的测试世界
04-13 2217
破坏完整性实验 完整性校验的目的就是防止Android客户端程序被篡改/二次打包,下面以篡改资源文件为例来做实验: 1. apk解包 解包命令:java -jar apktool_2.5.0.jar d exampleapp.apk -o out 解包结果: 2. 修改源文件 找到first_layout.xml这个文件,也就是第一个activity的布局文件,里面的button原本显示的文字是Button1,现在修改为Button10-modified 3. 重新打包 打包..
完整性校验
06-19
完整性校验sha1算法,能够很好的了解完整性校验的过程原理
apk安全校验
02-07
获取签名证书keystore的SHA1值和完整性校验获取的classes.dex的SHA-1哈希值字符串,防止二次签名和篡改
android应用下载安装apk升级版本实现demo适配Android10
04-30
这个demo实现了android开发应用内下载安装apk升级版本的功能,非常简便轻量集成,完全原生代码即可实现,无需第三方框架。。。
APP 完整性校验
zcmain的专栏
11-06 1万+
app开发完成发布后,难免会对app安全性有所顾及,记录一下app完整性校验的机制来防止app被反编译造成后果。 完整性校验原理    所谓完整性校验就是我们用各种算法来计算一个文件的完整性,防止这个文件被修改。其中常用的方法就是计算一个文件的CRC32的值或者计算一个文件的哈希值。我们在防止apk被反编译的方法中也可以采用这种方法。我们知道apk生成的classes.dex主要由
APK完整性校验代码
muzitest的专栏
08-11 994
http://security.tencent.com/index.php/opensource/detail/8
Android APK文件完整性验证
q1165328963的博客
09-01 1348
APK完整性校验方式:一种是对应CONTENT_DIGEST_CHUNKED_SHA256(对应摘要算法"SHA-256")或CONTENT_DIGEST_CHUNKED_SHA512(对应摘要算法"SHA-512")算法的摘要验证,它是将参与摘要的数据分成1M字节大小;另外一种是对应CONTENT_DIGEST_VERITY_CHUNKED_SHA256(对应摘要算法"SHA-256"),它将构建Merkle树,它的分块大小是4096字节,并且得到树根的摘要值,拿它和v2分块中的摘要进行比对。
Android 反编译后修改 APK 中文件再进行打包签名(应用完整性校验
Keep Do It
08-23 3197
因项目存在 安全性 测试,其中一项为 应用完整性校验 下面给出相应测试方法,希望能够帮助大家。1.工欲善其事必先利其器。首先下载 apktool 官网:https://ibotpeaches.github.io/Apktool/install/2.下载完成后apktool.jar & apktool.bat 存放路径:配置 JAVA 环境变量:确认环境变量是否成功及 JAVA 版本:3.进行测试将被
android apk 防止反编译技术第五篇-完整性校验
Fenice
03-02 1214
转自http://my.oschina.net/u/2323218/blog/403621 又到周末一个人侘在家里无事可干,这就是程序员的悲哀啊。好了我们利用周末的时间继续介绍android apk防止反编译技术的另一种方法。前三篇我们讲了加壳技术(http://my.oschina.net/u/2323218/blog/393372)、运行时修改字节码(http://my.oschin
app 完整性校验方法
05-19
App完整性校验一般可以通过以下几种方法: 1. 数字签名校验:开发者在发布应用程序时,可以使用数字签名来证明应用程序的完整性。数字签名是一个由数字证书机构颁发的证书,用于验证应用程序是否被篡改过。当用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值