Android签名与权限的安全问题(3)

最新推荐文章于 2024-05-04 20:45:36 发布
最新推荐文章于 2024-05-04 20:45:36 发布
阅读量2.2k 收藏 1
点赞数
分类专栏: Android 安全相关 android的安全机制 文章标签: android 安全 rsa 加密 权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/relicemxd/article/details/54346621
版权

签名和权限的作用

Android签名中使用到的一些加密技术有:

公/私钥, SHA1(CERT.SF,MANIFEST.MF), RSA(CERT.RSA), 消息摘要,

移动平台中的主流签名作用:

  • Android平台中是使用自签名
    自签名,证书的签名者和证书拥有者是同一人.
自签名的完整性认证

自签名是没有信任模式的,因为自签名信息是自己的,对无法知道该信息是不是安全,我们只能对其的完整性进行认证.

限制安装和运行

下面是限制应用安装和运行的流程

  • 应用安装时
    校验是否含签名 –> 没有,禁止安装
    –> 有,提取证书进行校验–> 证书是否有效可信任–> 不是禁止安装.

    基于证书的公钥对签名进行校验–> 签名是否正确 –> 不正确禁止安装.

  • 应用运行时
    校验是否包含签名 –> 没有,禁止运行
    –> 有,提取证书进行校验–> 证书是否有效可信任–> 不是禁止运行.(这一步跟安装流程相似)

    基于证书的公钥对签名进行校验–> 签名是否正确 –> 不正确禁止运行.(这一步跟安装流程相似)

权限的作用(细粒度的特权管理)

  • 权限是一个ID或者一个字符串
  • 谦虚用来细分权利(类似Capability,分散权利)
  • 通常一个权限与一个类操作绑定
  • 权限首先需要申请(AndroidManifest或者代码动态申请)
  • 但是申请后是否被批准有平台策略决定
    如:用户需要读取SDCard的权限,这时Android平台会弹出访问SDCard的窗口,如果用户accept了,那这个权限就被申请.

权限的安全性保护(通过签名)

  • 权限的完整性保护(防篡改)
    如发短信的方式,不可能没发一条短信都弹dialog来申请权限,所以这时开发只要在Manifest 中添加 sendSMS permission 就可以.(通过认证并获得签名后再加policy权限)

  • 权限的授权安全策略(防Escalate)
    如普通应用申请Inject Event 权限(注入)

签名作用

完整性鉴别

  • 自签名支持完整性鉴别
    Android中使用的是自签名方式,那就是无法对签名的信任进行认证,只能通过他的完整性鉴别.

  • 不做安装和运行时的限制(不做信任模式)
    Android不会在安装的时候进行

最低0.47元/天 解锁文章
林锐波
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Android Permission介绍
azhengye的专栏
10-31 1万+
Android 运行时权限介绍
android权限字符串,Android Permission权限控制机制
weixin_36127579的博客
05-26 629
1、概述Android 是一个权限分离的系统 。 这是利用 Linux 已有的权限管理机制,通过为每一个Application 分配不同的 uid 和 gid , 从而使得不同的 Application 之间的私有数据和访问(native 以及 java 层通过这种 sandbox 机制,都可以)达到隔离的目的 。 与此 同时, Android 还在此基础上进行扩展,提供了 permission ...
2024年Android最全android 电子签名 手写签名 功能实现(4),2024年最新面试被逆袭
最新发布
2401_84545618的博客
05-04 664
由于题目很多整理答案的工作量太大,所以仅限于提供知识点,详细的很多问题和参考答案我都整理成了 PDF文件网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化学习资料的朋友,可以戳这里获取一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
Android学习笔记——Android 签名机制详解
weixin_43301424的博客
08-19 3970
Android 签名机制所涉及的内容进行一个系统梳理
Android系统签名看这一篇就够了!
yuhance的博客
03-07 2697
环境准备: linux系统 java11(大于java8,java中需包含keytool) opensslJava11下载路径https://www.openlogic.com/openjdk-downloads后附相关知识与路径。
深入了解 Android 中的应用程序签名
特立独行的博客
12-22 1968
应用程序签名是将数字签名应用于 Android 应用程序(APK 文件)的过程。它使用密钥对对应用程序进行加密,确保在应用程序发布和分发过程中的完整性和真实性。
Android权限机制带来的一些安全问题介绍
09-03
然而,如同所有技术措施一样,Android权限机制并非无懈可击,存在一些安全问题和潜在的漏洞。 首先,Android权限机制的一个显著缺陷是应用程序可以自由定义新的权限,无需遵循特定的命名规则。这种自由度可能导致...
Android签名权限
11-18
 移动平台中的主流签名作用: 自签名的完整性鉴别  移动平台中的主流签名作用:信任模式  移动平台中的主流签名作用:限制安装/运行  权限的作用:细粒度的特权管理  权限安全性保护:通过签名
Android 7.0 运行时权限弹窗问题的解决
08-19
通过这些修改,我们可以解决 Android 7.0 运行时权限弹窗问题,从而提高应用程序的安全性和稳定性。 此外,还有其他解决方法,例如使用 Android 的 PermissionManager 来管理权限,或者使用自定义的权限机制来解决...
Android安全与逆向分析进阶
04-10
12. **案例分析与实战**:通过实际的案例,如著名的Stagefright漏洞,来加深对Android安全的理解,同时提供解决安全问题的实际操作步骤。 通过学习这些知识点,读者不仅可以掌握Android安全的理论知识,还能具备...
Android系统签名文件生成工具
08-11
app获取系统级权限有两种方法,一个是root,另一个是在AndroidManifest中添加android:sharedUserId="android.uid.system",但是Manifest文件中加入sharedUserId后,我们会发现一个问题,就是INSTALL_FAILED_SHARED_...
Android apk签名详解——AS签名、获取签名信息、系统签名、命令行签名
jb_home的博客
11-15 1万+
Apk签名,每一个Android开发者都不陌生。它就是对我们的apk加了一个校验参数,防止apk被掉包。一开始做Android开发,就接触到了apk签名;后来在微信开放平台、高德地图等平台注册时,需要填写apk签名的md5值和sha256值;再后来做系统应用,接触到了系统签名;而后就想了解下apk的生成机制,学习了如何用命令行进行签名。 ...
Android安全机制(2) Android Permission权限控制机制
热门推荐
vshuang的专栏
03-01 4万+
  1、概述          我们在Android安全机制(1)中介绍过基于UID和GID的Android进程隔离机制。 这是利用 Linux 已有的权限管理机制,通过为每一个 Application 分配不同的 uid 和 gid , 从而使得不同的 Application 之间的私有数据和访问( native 以及 java 层通过这种 sandbox 机制,都可以)达到隔离的目的 。 ...
Android 系统签名
a87024341的博客
11-09 6476
Android 查看签名信息的几种方法
安卓-apk系统签名
沐的博客
10-11 1万+
安卓-apk系统签名
Android permissionandroid:protectionLevel
限量发行的专栏
03-05 3620
Android对这些权限进行了四类分级,不同级别的权限对应不同的认证方式。      normal:低风险权限,只要申请了就可以使用(在AndroidManifest.xml中添加标                            签),安 装时不需要用户确认; dangerous:高风险权限,安装时需要用户的确认才可使用; signature: 只有当申请权限
Android permission权限详解
飞翔的小鸟
04-16 1959
权限是一种安全机制。Android权限主要用于限制应用程序内部某些具有限制性特性的功能使用以及应用程序之间的组件访问。在Android开发中,基本上都会遇到联网的需求,我们知道都需要加上联网所需要的权限: <uses-permission android:name="android.permission.INTERNET" /> 实际上,在开发过程中,当我们使用了某...
Android 项目工程配置签名文件
qq_36158551的博客
01-04 907
Android平台打包发布apk应用,需要使用数字证书(.keystore文件)进行签名,用于表明开发者身份。Android证书的生成是自助和免费的,不需要审批或付费。可以使用JRE环境中的keytool命令生成。以下是windows平台生成证书的方法。
AndroidV1,V2,V3签名原理详解
北洋的博客
10-02 6288
AndroidV1,V2,V3签名原理及APK加密技术原理背景介绍不同的签名版本之间的区别V1采用方案V2采用方案V3采用方案 背景介绍 一,Android打包完APK都要进行签名才能够安装到手机上,这是因为在安装的时候系统会进行检测,平时我们直接点AS里面那个绿色的运行按钮也能够直接安装到手机上,这是因为其实它也进行了签名,只不过AS自动帮我们做了这个操作有个默认的签名。 二,签完名后的APK安装包安装到手机上时,系统会保存我们这个签名文件,之后启动我们的APP的时候根据使用的签名版本(V1,V2,V3)

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值