Android签名安全机制

最新推荐文章于 2021-12-29 18:05:02 发布
最新推荐文章于 2021-12-29 18:05:02 发布
阅读量145 收藏
点赞数
分类专栏: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33344834/article/details/112473630
版权

此文只描述安全本质,由于Anroid基于性能考虑优化,以及V1、V2版本变更。具体实现可能有差异。
APK打包时包含以下两个文件:

  1. CERT.SF:该文件中包含每一个文件的摘要(散列值)(D)
  2. CERT.RSA:该文件中包含签名公钥(A)和使用签名私钥加密后的SF摘要信息(B)、以及摘要算法(C)。

APK安装校验过程如下:

  1. APK安装时会使用CERT.RSA的摘要算法(C)算出每个文件的摘要和CERT.SF中的值(D)进行比较
  2. 使用CERT.RSA的摘要算法算出CERT.SF这个文件的摘要信息A1,使用CERT.RSA文件中的公钥(A)解密CERT.RSA中指纹(B)得到摘要信息B1.
  3. 如果A1 = B1,则完整性校验通过。

攻击过程模拟:首先我篡改某个文件后,由于此文件的摘要和CERT.SF中的值(D)不一致,所以我需要修改CERT.SF文件。但是CERT.SF文件的摘要(A1)和(B1)不一致。所以我们需要修改CERT.RSA中使用签名私钥加密后的SF摘要信息(B),但是B是用私钥加密的。我们没有私钥,所以无法修改。

明宇小生
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[车联网安全自学篇] Android安全签名机制
橙留香Park的博客
01-01 3244
众所周知,Android系统在安装Apk的过程中,会对Apk进行签名校验,校验通过后才能安装成功。APK签名是为了保证APK的完整性和来源的真实性,分为JAR签名和V2签名两种方案。核心思想均是计算APK内容的hash,再使用签名算法对hash进行签名。校验时通过签名者公钥解密签名,再与校验者计算的APK内容hash进行比对,一致则校验通过。在开始之前我们先了解一下APK的基本结构。
android v2签名机制,APK签名机制之——V2签名机制详解
weixin_30773813的博客
05-28 2616
通过前一篇Apk签名机制之——JAR签名机制详解的分析我们知道,JAR签名需要对apk内所有文件进行hash校验,当资源较多时签名验证速度较慢。为了加快验证速度并加强完整性保证,Andorid在7.0引入一种全文件签名方案V2。下面来看V2方案的具体设计原理。1. V2签名设计思想在了解V2签名结构前,先来了解下zip(apk)文件的结构。1.1 ZIP文件结构zip包结构zip文件分为3部分:数...
Android安全机制--签名
04-14 1113
android 采用自签名所以只能做完整性判断。 android 签名的作用: 1.Signature Protection Level Permission 用于特权Permission只有特定签名的Apk才被授权(区别厂商自带的apk还是第三方的apk) 2.Share Process UID android:sharedUserId=“xxxx" Process间Share UID
android应用安全——签名机制
xyzlmn的专栏
06-11 178
关注android应用安全,应该关注android签名机制,平时我们都是使用eclipse直接签名,不了解签名的流程机制,我们今天开始了解一下。Android签名android应用中扮演着很重要的角色,例如,Android系统禁止更新安装签名不一致的APK;如果应用需要使用system权限,必须保证APK签名与Framework签名一致,等等。android应用签名在应用防篡改、防盗版...
android安全机制——签名
weixin_34199335的博客
02-15 163
为什么80%的码农都做不了架构师?>>> ...
Android安全——签名机制
Vincent的专栏
06-14 1500
Android签名机制     为了说明APK签名比对对软件安全的有效性,我们有必要了解一下Android APK的签名机制。为了更易于大家理解,我们从Auto-Sign工具的一条批处理命令说起。 在《APK Crack》一文中,我们了解到,要签名一个没有签名过的APK,可以使用一个叫作Auto-sign的工具。Auto-sign工具实际运行的是一个叫做Sign.bat的批处理命令。用文本编辑
Android操作系统安全机制研究.doc
02-18
Android操作系统安全机制研究 随着Android系统的普及,其安全问题逐渐凸显,包括隐私泄露、信息丢失、恶意扣费和系统入侵等。这些问题的出现使得对Android安全机制的研究变得至关重要。本文将深入探讨Android安全...
一种Android数字签名验证机制漏洞探析.pdf
09-21
总之,针对Android数字签名验证机制的漏洞,开发者和安全专家需要更加深入地理解该机制的工作原理和漏洞所在,同时持续更新安全策略和技术措施,以保护Android系统应用的安全性和用户的数据隐私。对于安全研究人员和...
Android安全机制
08-15
Android安全机制Android操作系统的核心组成部分,它通过一系列的策略和组件来保护用户数据、应用程序以及整个系统的安全性。作为开发者,理解和掌握这些机制至关重要,因为它们直接影响到应用的性能、隐私和用户...
Android签名机制介绍:生成keystore、签名、查看签名信息等方法
09-03
Android签名机制是保障应用安全、保持应用完整性的重要安全特性之一。当我们在Android平台上发布一个应用程序,或者对现有应用进行更新时,都会使用到签名机制。为了完成签名过程,开发者通常需要生成一个keystore...
Android获取apk签名指纹的md5(防止重新被打包)的实现方法
09-02
主要介绍了Android获取apk签名指纹的md5以防止重新被打包的实现方法,结合实例形式详细分析了Android获取apk md5的常用技巧,需要的朋友可以参考下
Android安全开发之通用签名风险
AliMobileSecurity的博客
08-08 3183
Android系统要求安装的应用必须用数字证书进行签名后才能安装,并且签名证书的私钥由应用开发者保存。如果多个APP使用相同的签名,会带来怎样的风险?
Android签名攻与防
键盘的起始页
07-10 552
看点 01 一. Android签名背景 Android应用使用应用包文件(.apk文件)的形式分发到设备上,由于这个平台的程序主要是用 Java 编写的,所以这种格式与 Java 包的格式 -- jar(Java Archive)有很多共同点,它用于将代码,资源和元数据(来自可选的META-INF目录 )文件使用 zip 归档算法转换成一个文件。 大多数 Android 应用程序都使用开发人员签名的证书(注意 Android 的“证书”和“签名”可以互换使用)。 此证书用于确保原始应用程序的代码及
【字节码插桩】Android 签名机制 ( 生成 Android 签名文件 | 分析签名文件 | 签名文件两个密码的作用 | 三种签名方式 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
09-14 8727
一、Android 签名机制、 二、生成 Android 签名文件、 三、分析签名文件、 四、签名文件两个密码的作用、 五、三种签名方式、
Android-安全-签名验证让二次打包变的更难
热门推荐
浅浅同学的开发笔记
01-13 1万+
二次打包的危害性如果你没有对你的应用做任何的安全保障措施,那么你的应用就非常的危险首先了解一下什么是二次打包: 二次打包 通过工具apktool、dex2jar、jd-gui、DDMS、签名工具获取源码,嵌入恶意病毒、广告等行为再利用工具打包、签名,形成二次打包应用。 二次打包的一个小演示这是代码: TextView tv = (TextView) findViewById(R.id.tv
android 如何绕过签名校验
Deaht_Huimie的博客
07-29 6333
上一章我们说了签名的一些基本信息,这一章说说它的用法。我们知道 android 存在二次打包的现象,这样可以篡改一些功能,所以部分app会在一些重要功能或者接口请求或者程序的入口的地方使用签名校验,校验下 SHA1 或 MD5 等信息,看看是否是自己原始的签名,如果不是,则强制程序退出。这个属于安全防御,自然有盾就有矛,现在就探讨一下怎么绕过签名校验,也就是常说的 hook 。 所谓 hook ,也就是通过反射和动态代理,做一些常规做不到的操作,比如替换对象的属性,或者拦截对象的方法等等,现在先说个.
Android apk 安全措施详细说明(签名、混淆、加固、H5安全方案)
superzhang6666的博客
12-29 6270
文章简介:当一个Android app 开发完成后,我们总是希望对app进行一些安全措施,防止自己开发的apk被别人二次打包和签名上传到应用市场,同时防止apk被别人拿到之后进行反编译进行二次开发。那么我们应该都做哪些防护措施呢?下面来一一说明。 1、apk签名 打正式包之前,需要对apk进行签名,如果您是用Android Studio开发工具,那么打包、签名就非常简单了。具体怎么签名,网上文章很多,这里不做详细描述。那么我们重点说说为什么要对apk进行签名呢? (1)apk签名是应用程序作者对apk进行
Android安全机制(3) APK 签名机制
vshuang的专栏
11-10 2416
APK签名Android APK安全的第一道防线,是Android APK身份的一个唯一标志
Android如何把签名校验做到极致
qq_40948137的博客
04-19 5937
为何你的应用老是被破解,该如何有效的做签名校验? 前言 上一篇发了个简单的NDK实现的签名校验,众所周知,签名校验是防止二次打包最普遍的方式。下面是常见的签名校验方法: /** * 做普通的签名校验 */ private boolean doNormalSignCheck() { String trueSignMD5 = "d0add9987c7c84aeb7198c3ff26ca152"; String nowSignMD5 = ""; try { // 得到签
深入探讨Android软件安全机制
"本文主要探讨了Android安全机制,重点关注软件层面的安全问题。文章首先介绍了Android的分层架构,包括Linux内核层、硬件抽象层、系统运行时库层、应用程序框架层和应用程序层,并强调了内核层中的安全特性,如低...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值