Android签名与风险分析

最新推荐文章于 2023-05-29 00:16:54 发布
最新推荐文章于 2023-05-29 00:16:54 发布
阅读量4.4k 收藏 1
点赞数 1
分类专栏: android Android开源库源码分析和使用 文章标签: android 签名
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/robertcpp/article/details/51628831
版权
本文详细介绍了Android签名的概念、作用、签名方法,包括使用keytool和jarsigner命令以及signapk工具。通过分析签名过程,阐述了签名对App升级、模块化和权限共享的影响,并讨论了签名的安全性问题,如利用平台密钥篡改权限。同时,总结了签名验证过程中的各种情况,以确保应用的安全与稳定。
摘要由CSDN通过智能技术生成

Android签名概括:

在Android 系统中,所有安装到系统的应用程序都必有一个数字证书,这个数字证书就是这个应用的签名。此数字证书用于标识应用程序的作者和在应用程序之间建立信任关系,如果一个 permission的protectionLevel为signature,那么就只有那些跟该permission所在的程序拥有同一个数字证书的应 用程序才能取得该权限。这个数字证书并不需要权威的数字证书签名机构认证,它只是用来让应用程序包自我认证的。

Android签名作用:

为了保证每个应用程序开发商合法ID,防止部分开放商可能通过使用相同的Package Name来混淆替换已经安装的程序,冒充原来的应哟功能。我们需要对我们发布的APK文件进行唯一签名,保证我们每次发布的版本的一致性(如自动更新不会因为版本不一致而无法安装)。

概括起来有以下几点:

(1 )  发送者的身份认证

(2)保证输入信息的完整性

(3)防止交易中的抵赖发生

Android签名方法:

方法一: 使用keytool和jarsigner命令

创建key,需要用到 keytool,使用产生的key对apk签名用到的是jarsigner。

keytool -genkey -alias demo.keystore -keyalg RSA -validity 40000 -keystore demo.keystore

/*说明:-genkey 产生密钥

-alias demo.keystore 别名 demo.keystore

-keyalg RSA 使用RSA算法对签名加密

-validity 40000 有效期限4000天

-keystore demo.keystore */

jarsigner -verbose -keystore demo.keystore -signedjar demo_signed.apk demo.apk demo.keystore

说明:-verbose 输出签名的详细信息

最低0.47元/天 解锁文章
robert_chao
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android安全开发之通用签名风险
AliMobileSecurity的博客
08-08 3170
Android系统要求安装的应用必须用数字证书进行签名后才能安装,并且签名证书的私钥由应用开发者保存。如果多个APP使用相同的签名,会带来怎样的风险
Android签名风险
05-04 242
Android签名概括: 在Android 系统中,所有安装到系统的应用程序都必有一个数字证书,这个数字证书就是这个应用的签名。此数字证书用于标识应用程序的作者和在应用程序之间建立信任关系,如果一个 permission的protectionLevel为signature,那么就只有那些跟该p...
Android签名
xhzth70911的博客
11-25 410
1.使用创建好的jks文件给apk签名 jarsigner -verbose -keystore test.jks -signedjar signtest.apk test.apk key0 1)jarsigner是工具名称,-verbose表示将签名过程中的详细信息打印出来,显示在dos窗口中; 2)-keystore test.jks 表示签名所使用的数字证书所在位置,这里没有写路径,表示在当前目录下; 3)-signedjar signtest.apk test.apk 表示给test.apk文件
android 安卓应用 防二次打包 防重签名 防篡改 安全加固
07-22
目前移动领域出现了相当部分的安全问题,新的恶意软件层出不穷,同时,企业对敏感数据保密性意识日益提高,作为移动开发者,有责任对最终用户的隐私和安全承担更多责任。另一方面,APP被篡改、盗用,直接伤害了开发者的知识和劳动权益,移动开发者有必要保护自己的利益不受损失。 这里实现了安卓移动APP防二次打包、防重签名、防篡改的自动化一键式加固工具。成熟的安全加固方案,均已实现和投入使用,解决了企业和个人的安全问题。针对开发者指定的移动应用(apk),以本地工具的方式,自动完成加固。技术实现上,类似360加固宝、梆梆加固、爱加密、阿里聚安全类似。实现了: - 签名运行时校验 - 资源文件运行时校验 - dex资源运行时校验 - 其他资源运行时校验 保护个人移动应用或企业数据的安全性。如有源码需要,请联系作者本人。QQ:164836265
Android APK签名原理及方法
YCL_666的博客
06-14 3045
Android签名机制及原理 Android系统在安装APK的时候,首先会检验APK签名,如果发现签名文件不存在或者校验签名失败,则会拒绝安装,所以应用程序在发布之前一定要进行签名。给APK签名可以带来以下好处: 应用程序升级 如果想无缝升级一个应用,Android系统要求应用程序的新版本与老版本具有相同的签名与包名。若包名相同而签名不同,系统会拒绝安装新版应用。 应
Android应用差异性检测与分析.pdf
09-21
Android应用差异性检测与分析》这篇文档主要探讨了Android应用程序在不同应用市场上的版本差异性及其潜在风险。通过对15家主流Android第三方应用商店中50款热门应用的APK文件进行深入研究,作者揭示了APK文件在...
Android系统安全现状分析.pdf
09-21
Android系统安全现状分析Android系统作为全球最广泛使用的智能手机操作系统,其安全问题备受关注。尤其是在中国市场,Android占据了75.5%的市场份额,远超iOS的24.3%,这意味着大量的用户数据和隐私信息存储在...
Android系统的安全分析.pdf
09-21
总结来说,Android系统的安全分析涵盖了权限管理、数据加密、应用签名、恶意软件防护和用户隐私保护等多个层面。开发者在构建应用时应遵循最佳安全实践,而用户则需了解并利用这些机制来保护自己的设备和数据安全。...
Android APP常见风险及防护
技术超强的网络安全平台
09-17 1082
如果程序本身对运行时的内存没有做任何的保护措施,攻击者通过反编译对源代码进行分析,定位到可以程序外 Hook 类似操作的关键位置,完全不需要修改程序本身,当程序运行到敏感的界面 Activity 时,从程序外获取用户输入的证件号、姓名、手机号和密码等敏感的信息,并从内存中进行修改,尤其是对于涉及到支付等操作时,将严重威胁用户的财产安全。app被轻易的二次打包,很容易被攻击者添加恶意的代码或者添加广告,从而窃取登录账号密码、支付密码等,严重威胁用户隐私安全,也给公司的形象带来不利的影响。
Android安全漏洞总结
会飞的鱼儿的博客
02-25 3103
一、前言 在Android开发过程中,一般都不会太注重app的安全漏洞问题,除非遇到要求比较高的公司或者有对app提供检测的机构进行检测,但是检测和加固的费用比较高,所以一些app就忽略了这个问题,但是我最近做的app安全级别较高,多个安全机构检测后会有如下问题,顺便说一下检测机构有很多,如360、蓝盾、梆梆等。 二、问题总结 应用签名未校验风险 高 加入签名校验 应用数据任...
安卓apk包重复签名问题
cxu123321的博客
04-21 1041
安卓apk包重复签名问题   安卓数字签名指的是对apk包做文件摘要并加密,在安装apk包时做解密和验证以保证包体不被篡改。这里先普及下签名和验证流程。签名文件保存在apk包里META-INF目录下,包含3个文件: 1、后缀为MF的是摘要文件。首先遍历apk包,将除META-INF目录外其他所有文件用SHA1生成摘要信息并用base64编码。如果你手动改变了apk包中的文件,那么在apk包安装...
Android签名机制详解】二:Android V1、V2、V3、V4签名方案
最新发布
sxf137731的博客
05-29 3471
步步为营,来你了解Android签名机制
[免费专栏] Android安全之APK应用程序签名异常的检测方法
橙留香Park的博客
08-26 2095
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
Android APK安全漏洞的些许问题
W_DevilMayCry的博客
04-17 2147
引言 很久没有写博客,最近公司的一些老项目在接受安全检查的时候发现了很多的漏洞,说实话真的是被坑的挺难受的,再次记录一下。希望可以帮到碰到同样问题的猿友们。 1.Janus签名漏洞 为了提升安卓系统的安全性,Google发布了新的签名认证体系signature scheme V2。由于,signature scheme V2需要对App进行重新发布,而大量的已经存在的App APK无法使用V2校验...
关于安卓开发签名校验
qq_40114753的博客
11-14 697
安卓开发签名校验
Android签名攻与防
云守护的专栏
10-24 546
转自:https://cloud.tencent.com/developer/article/1356482 一. Android签名背景 Android应用使用应用包文件(.apk文件)的形式分发到设备上,由于这个平台的程序主要是用 Java 编写的,所以这种格式与 Java 包的格式 -- jar(Java Archive)有很多共同点,它用于将代码,资源和元数据(来自可选的META-IN...
android应用标签未完善,Ionic Android进行签名校验验证-应用签名未校验风险的讲解...
weixin_28697603的博客
05-26 893
Ionic签名校验验证1. 为什么要进行签名校验2. 查看安卓证书信息3. 编写检验文件3.1 编写校验文件`SignCheck.java`3.2 修改MainActivity.java3.3 其他方案4. 打包4.1 移除android平台4.2 增加android平台版本4.3 覆盖`MainActivity.java`4.4 使用证书进行打包5. 打包完成安装apk6. 加固原理1. 为什么...
Android9.x应用待机群组特性导致后台应用无法联网问题分析
昨夜星辰的博客
12-10 4698
Android9.x应用待机群组特性导致后台应用无法联网问题分析9.x增加的电源管理新特性1 应用分组2 查看和修改分组3 省电管理白名单源码分析 9.x增加的电源管理新特性 我们在工作中发现一个问题,我们的一个应用,启动时只启动一个后台服务,而不会启动界面。并且在后台服务中网络请求超时。但是如果启动一个activity之后,就可以正常联网。 Android P(9.x)为了更加严格的限制后台应用...
使用jarsigner工具apk签名算法问题
03-10 4826
SHA1withRSA ----SHA256withRSA

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值