APK安装时的过滤方式:包名白名单、证书认证

已于 2023-12-03 00:22:09 修改
阅读量9.1k 收藏 4
点赞数 2
分类专栏: Android framework 文章标签: android
于 2021-01-13 18:00:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sdkdlwk/article/details/112579559
版权

有些项目不允许所有APK都拥有安装权限,例如apk只能通过应用商城来安装或者升级,只允许某些特定的apk自升级,不允许pm install等。这就需要添加安装权限白名单来控制。

先介绍android中常用的几种安装方式,好针对这几种进行修改 
1、 直接调用安装接口。

Uri mPackageURI = Uri.fromFile(new File(Environment.getExternalStorageDirectory() + apkName));
 
int installFlags = 0;
PackageManager pm = getPackageManager();
try{
    PackageInfo pi = pm.getPackageInfo(packageName,
    PackageManager.GET_UNINSTALLED_PACKAGES);
    if(pi != null) {
        installFlags |= PackageManager.REPLACE_EXISTING_PACKAGE;
    }
}
catch (NameNotFoundException e){}
PackageInstallObserver observer = new PackageInstallObserver();
pm.installPackage(mPackageURI, observer, installFlags);

这种修改需要直接修改packageManagerService。对应下面的第一种方法。

2、通过Intent机制,调用packageInstaller进行安装。

String fileName = Environment.getExternalStorageDirectory() + apkName;
Uri uri = Uri.fromFile(new File(fileName));
Intent intent = new Intent(Intent.ACTION_VIEW);
intent.setDataAndType(Uri, application/vnd.android.package-archive");
startActivity(intent);

因为应用是通过packageInstaller进行安装的,相当于隔了一层代理,所以在packageManagerService并无法判断正在调用安装的是哪个app,只能在packageInstaller中进行修改,参考下面的第二中方法。

3、通过命令进行安装 pm install,参考第三种方法修改。

1、packageManagerService修改

packageManagerService的修改,我们在其中添加接口及代码来控制apk安装。

1)增加以下函数:

 private boolean isWhiteListApp(String pkgName){
        final File systemDir;
        final File whitelistFile;
        final ArrayList<String> whiteListApps = new ArrayList<String>();
        systemDir = new File("/system/", "etc");
        whitelistFile = new File(systemDir, "whitelistapps");
        if (!whitelistFile.exists()) {
            return false;
        }
        try {
            whiteListApps.clear();
            BufferedReader br = new BufferedReader(new FileReader(whitelistFile));
            String line = br.readLine();
            while (line != null) {
                //Log.d(TAG, "whitelistapps readLine:" + line);
                whiteListApps.add(line);
                line = br.readLine();
            }
            br.close();
        } catch (IOException e) {
            Log.e(TAG, "IO Exception happened while reading whitelistapps");
            e.printStackTrace();
            return false;
        }
        Iterator<String> it = whiteListApps.iterator();
        while (it.hasNext()) {
            String whitelisItem = it.next();
            if (pkgName.equals(whitelisItem)) {
                return true;
            }
        }
        return false;
    }

isWhiteListApp函数会去读取白名单文件/system/etc/whitelistapps,然后和我们传进来的包名进行匹配,在白名单中返回true,其他情况均返回false。

2)获取调用的包名判断是否在白名单中

接下来要在installPackageLI函数对调用安装的apk进行匹配,判断是否在白名单中,如果不在的话则提示错误。

private void installPackageLI(InstallArgs args, PackageInstalledInfo res) {
 
        ......
 
        try {
            pp.collectCertificates(pkg, parseFlags);
            pp.collectManifestDigest(pkg);
        } catch (PackageParserException e) {
            res.setError("Failed collect during installPackageLI", e);
            return;
        }
 
        // longroey++ start
        if(!isWhiteListApp(pkg.packageName)) {
            res.setError(PackageManager.INSTALL_FAILED_VERIFICATION_FAILURE,
                    "app is not in the whitelist. packageName:" + pkg.packageName);
            return;
        }
        // longroey++ end
 
        /* If the installer passed in a manifest digest, compare it now. */
        if (args.manifestDigest != null) {
            if (DEBUG_INSTALL) {
                final String parsedManifest = pkg.manifestDigest == null ? "null"
                        : pkg.manifestDigest.toString();
                Slog.d(TAG, "Comparing manifests: " + args.manifestDigest.toString() + " vs. "
                        + parsedManifest);
            }
            if (!args.manifestDigest.equals(pkg.manifestDigest)) {
                res.setError(INSTALL_FAILED_PACKAGE_CHANGED, "Manifest digest changed");
                return;
            }
        } else if (DEBUG_INSTALL) {
            final String parsedManifest = pkg.manifestDigest == null
                    ? "null" : pkg.manifestDigest.toString();
            Slog.d(TAG, "manifestDigest was not present, but parser got: " + parsedManifest);
        }
 
        ......
 
    }

3) 增加白名单
/system/etc/whitelistapps内容如下,在编译时可以在mk中修改拷贝到etc目录下,例如下面就是允许这三个包名有安装权限。

com.xxx.xxx1 
com.xxx.xxx2 
com.xxx.xxx3

2、packageInstaller的修改

还是参考packageManagerService的修改,增加isWhiteListApp函数,去读取白名单文件/system/etc/whitelistapps,然后进行包名匹配,在白名单中返回true,其他情况均返回false。

我们在packageInstaller的PackageInstallerActivity.java中增加以下修改// add for installer enable/disable ,不在白名单中的app,会直接提示不允许安装后退出。

protected void onCreate(Bundle icicle) {
        super.onCreate(icicle);
 
        // get intent information
        final Intent intent = getIntent();
        mPackageURI = intent.getData();
        mPm = getPackageManager();
        final int uid = getOriginatingUid(intent);
        String callingApp = mPm.getNameForUid(uid);
        final File sourceFile = new File(mPackageURI.getPath());
        PackageParser.Package parsed = PackageUtil.getPackageInfo(sourceFile);
        mPkgInfo = PackageParser.generatePackageInfo(parsed, null,
            PackageManager.GET_PERMISSIONS, 0, 0, null,
            new PackageUserState());
 
        // add for installer enable/disable 
        if (!isWhiteListApp(callingApp)) {
            Toast.makeText(this, R.string.install_not_allow, Toast.LENGTH_LONG).show();
            this.finish();
        }
        mOriginatingURI = intent.getParcelableExtra(Intent.EXTRA_ORIGINATING_URI);
 ...省略

3、pm install的修改

禁止pm install,因为有些APK安装竟然是调用pm install命令去安装的。 
修改要在pm.java修改,修改方法和上面基本一致。 
可以看到,pm install其实调用的是run再去判断参数。

    public static void main(String[] args) {
        new Pm().run(args);
    }
 
public void run(String[] args) {
 ...省略
        if ("install".equals(op)) {
            runInstall();
            return;
        }
 ...省略

那我们要添加的话,先获取app名,再和packageManagerService一样,增加isWhiteListApp去判断是不是要调用runInstall()就OK了。

String callingApp = "";
try {
    callingApp = mPm.getNameForUid(Binder.getCallingUid());
 } catch(RemoteException re) {
    Log.e("Pm", Log.getStackTraceString(new Throwable())); 
}

APK安装时的过滤方式:包名白名单、证书认证

1.定义一些全局变量,文件位置:

Build.java (frameworks\base\core\java\android\os) 

/**
  * 包管理方式名称<br>
  *     whitelist: 白名单方式
  *     certificate: 证书认证方式
  *     none: 不进行管理
  */
public  static  String packageManage =  "none" ;

/**
  * 允许 Launch 显示的 APP 及 APP 白名单
  */
public  static  String[] packageAllow =  new  String[]{  "com.baidu.searchbox" ,

                             "com.thinta.product.thintazlib" ,

                             "com.thinta.product.x4usertool" };
/**
  * 允许 Launch 显示的 APP的 证书存放路径
  */
public  static  String certificatePath =  "/system/etc/security/media.zip" ;

2.修改安装APK过程,在安装过程添加验证

修改文件的位置:

PackageManagerService.java (frameworks\base\services\core\java\com\android\server\pm) 

首先添加一个函数:

private  static  HashSet<X509Certificate> getTrustedCerts(File keystore)
         throws  IOException, GeneralSecurityException {

         HashSet<X509Certificate> trusted =  new  HashSet<X509Certificate>();

         if  (keystore ==  null ) {
             return  trusted;
         }

         ZipFile zip =  new  ZipFile(keystore);

         try  {
             CertificateFactory cf = CertificateFactory.getInstance( "X.509" );
             Enumeration<?  extends  ZipEntry> entries = zip.entries();
             while  (entries.hasMoreElements()) {
                 ZipEntry entry = entries.nextElement();
                 InputStream is = zip.getInputStream(entry);
                 try  {
                     trusted.add((X509Certificate) cf.generateCertificate(is));
                 }  finally  {
                     is.close();
                 }
             }
         }  finally  {
             zip.close();
         }
         return  trusted;
     }

修改的函数:private void installPackageLI(InstallArgs args, PackageInstalledInfo res) 

第一处修改:

      if (Build.ThintaCust.packageManage.equals( "certificate" ))
             tmp_flags = PackageManager.GET_SIGNATURES;

         final  int  parseFlags = mDefParseFlags | PackageParser.PARSE_CHATTY
                 | (forwardLocked ? PackageParser.PARSE_FORWARD_LOCK :  0 )
                 | (onSd ? PackageParser.PARSE_ON_SDCARD :  0 ) | tmp_flags;

第二处修改:

         if (Build.ThintaCust.packageManage.equals( "none" )){
             Log.d( "XYP_DEBUG" ,  "packageManage = none  \n" );
         } else  if (Build.ThintaCust.packageManage.equals( "whitelist" )){
             Log.d( "XYP_DEBUG" ,  "packageManage = whitelist  \n" );
             List<String> list = Arrays.asList(Build.ThintaCust.packageAllow);
             if (list.contains(pkg.packageName)){
                 Log.d( "XYP_DEBUG" ,  "can install \n" );
             } else {
                 Log.d( "XYP_DEBUG" ,  "forbid install \n" );
                 res.setError(PackageManager.INSTALL_FAILED_USER_RESTRICTED,  "installPackageLI, forbid install" );
                 return ;
             }
         } else  if (Build.ThintaCust.packageManage.equals( "certificate" )){
             int  verify_pass =  0 ;
             try {
                 File file =  new  File(Build.ThintaCust.certificatePath);
                 HashSet<X509Certificate> trusted = getTrustedCerts(file);
                 CertificateFactory cf = CertificateFactory.getInstance( "X.509" );

                 for  (X509Certificate c : trusted) {
                     String tmp_public_key = c.getPublicKey().toString();
                     for (Signature sig : pkg.mSignatures)
                     {
                         X509Certificate cert = (X509Certificate)cf.generateCertificate( new  ByteArrayInputStream(sig.toByteArray()));
                         String tmp_key = cert.getPublicKey().toString();
                         if (tmp_public_key.equals(tmp_key)){
                             verify_pass =  1 ;
                             break ;
                         }
                     }
                     if (verify_pass ==  1 )
                         break ;
                 }
                 if (verify_pass !=  1 ){
                     Log.d( "XYP_DEBUG" ,  "forbid install \n" );
                     res.setError(PackageManager.INSTALL_FAILED_USER_RESTRICTED,  "installPackageLI, forbid install" );
                     return ;
                 }
             } catch (FileNotFoundException e){
                 Log.d( "XYP_DEBUG" , e.toString());
             } catch (CertificateException e){
                 Log.d( "XYP_DEBUG" , e.toString());
             } catch (IOException e){
                 Log.d( "XYP_DEBUG" , e.toString());
             } catch (GeneralSecurityException e){
                 Log.d( "XYP_DEBUG" , e.toString());
             }
         }

3.证书的压缩方式:

zip -r media.zip media.x509.pem

直接用命令把*.x509.pem 打包成zip文件,然后放到目标板的合适位置;

用第一步中的certificatePath指向存放该zip文件的位置。 

sdkdlwk
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android11 禁止第三方APP安装,通过白名单管理
Android
09-27 3199
adb 安装禁止实现 PackageManagerService.java //ybf private boolean isWhiteListApp(String packagename) { ArrayList<String> whiteListApp = new ArrayList<String>(); try { BufferedReader br = new BufferedReader(new In
App安装黑名单和白名单补丁.patch
05-18
Android系统限制第三方Apk安装行为,可以启用apk白名单或黑名单模式Android系统限制第三方Apk安装行为,可以启用apk白名单或黑名单模式
安全高效的APK过白方案@apkyt999
最新发布
2401_83500582的博客
05-09 324
不同的应用商店可能具有不同的审核标准和报毒机制,因此我们会深入了解目标应用商店的审核要求,并根据这些要求进行相应的优化和调整,以确保APK文件能够顺利通过审核。综上所述,我们的安全高效的APK过白方案将通过深度检测、权限优化、定制化服务和技术支持等多个方面,确保APK文件的清洁性、合规性和安全性,帮助开发者顺利通过应用商店的审核,并避免被误报为恶意软件。为了提供安全高效的APK过白方案,我们可以采取一系列措施来确保APK文件的清洁性和合规性,以顺利通过应用商店的审核并避免被误报为恶意软件。
测试包无法在其他设备上安装,报错installPackageLI
kiba_zwei的博客
11-19 1142
今天给测试提供demo被质疑了,测试反馈apk无法安装。我又在本地试了一下,demo可以直接编译安装到测试机,没问题,重新发包依旧被反馈无法安装。 思考了一下差异是我是编译安装,测试是adb命令安装。于是我复现了一下问题场景,发现报这个错误: INSTALL_FAILED_TEST_ONLY: installPackageLI 这个问题是因为这个工程配置了testOnly为true,但是后来我发现即使配置成false也装不上。不知道为啥。 两个处理方法: 使用-t命令 adb install -t
Failure [INSTALL_FAILED_TEST_ONLY: installPackageLI]、应用未安装问题解决
热门推荐
Adversity reveals genius; fortune conceals it.
07-26 1万+
用adb 命名安装过应用的人都知道,应用安装是会有很多坑的 首先Failure [INSTALL_FAILED_TEST_ONLY: installPackageLI]这个问题的解决一般有四个方案: 1.manifest.xml中加入了android:testOnly="true"属性,那么请改为false 2.在gradle.properties(项目根目录或者gradle全局配置目录 ~...
Android 8.1.0 PackageManagerService 修改之 - 禁止带有Home属性的APP安装
Water_Marking的博客
06-28 1076
转载自:lancelots https://blog.csdn.net/lancelots/article/details/84335018
Android 10 添加应用权限白名单
wq892373445的博客
03-14 1139
添加应用权限白名单
Android 获取未安装APK图标、版本号、包名等信息方法
08-28
Android 获取未安装APK图标、版本号、包名等信息方法 Android 获取未安装APK图标、版本号、包名等信息方法是 Android 应用程序开发中的一种常见需求。通过本文,我们将学习如何获取未安装APK图标、版本号、包...
android 10.0 app安装白名单.txt
07-31
android 10.0定制化开发过程中,针对现在安装的app做了定制,在白名单列表的可以安装app 不在列表的app就拒绝安装
APK包名查看软件工具
07-31
用于查看apk包名的工具软件
Android通过aapt命令获取apk详细信息(包括:文件包名,版本号,SDK等信息)
09-01
Android开发和维护中,有候我们需要获取APK文件的一些详细信息,例如文件包名、版本号、SDK版本等。这,我们可以借助Android SDK中的`aapt`(Android Asset Packaging Tool)命令行工具来实现。`aapt`是一个...
白名单功能禁止安装一些apk
02-28
白名单功能禁止安装一些apk
Android P 添加应用白名单配置
江湖浪徒的博客
06-12 2207
需求:在白名单内的应用允许安装,不在白名单的应用禁止安装。 在PMS里面做判断,不在白名单内的应用直接return。 +++ b/services/core/java/com/android/server/pm/PackageManagerService.java /** * Keep track of all those APKs everywhere. * <p> @@ -17346,6 +17350,27 @@ public class PackageManagerSer
Android PackageManagerService实现剖析
猿氏悟语
02-25 2886
Android系统中,和用户关系最密切的service应该是PackageManager了。 一般来说,用户想要在Android Phone上进行自己感兴趣的活动,都少不了apk的支持。 不论是打电话,上网,发短信还是玩一些自己喜欢的游戏,这些内容在android的世界里都是以apk的形式存在的。 所以,apk安装,卸载是与每个用户息息相关的。 我们接下来会用一些文章去解析PackageManager的工作原理,apk安装和卸载的过程。
RK3399平台开发系列讲解(系统修改记录篇)1.19、添加白名单
内核笔记
11-29 3059
[PX3][Android7.1] 调试笔记 — 添加白名单 需求 现在道道通导航后台运行,容易被系统回收, 包名:cn.jyuntech.map 需要把他加入白名单 原理 进程是有它的优先级的,这个优先级通过进程的adj值来反映,它是linux内核分配给每个系统进程的一个值,代表进程的优先级,进程回收机制就是根据这个优先级来决定是否进行回收,adj值定义在com.android.server....
白名单(Whitelisting)和黑名单(Blacklisting)
Anne1997的博客
08-05 2657
黑名单与白名单采用了相反的规则。因此,白名单又称为「通行名单」(Allowlist),而黑名单又称为「阻挡名单」(Blocklist)。凡是涉及到网络控制的各种机制,都会应用到白名单和黑名单规则。白名单就像建立VIP名单一样,不在名单上的人无法进入您的网络和设备。许多网络软件或设备都有白名单的防御机制,最常见的是浏览器和防火墙。这种机制能保护系统不受恶意软件或勒索软件的攻击,因此受到企业和个人的广泛采用。白名单(Whitelisting)和黑名单(Blacklisting)是两种常用的网络安全措施。
Android权限警告(Signature|privileged permissions not in privapp-permissions whitelist)
qq_25815655的博客
11-19 3318
需要添加权限: MTK权限添加路径 alps/vendor/mediatek/proprietary/frameworks/base/data/etc/privapp-permissions-mediatek.xml
android 查看apk安装包跟当前apk安装包是否一致
05-18
你可以通过以下步骤检查 Android APK 安装包的签名是否与当前安装APK 包相同: 1. 安装 Android Debug Bridge(ADB)工具,并将其添加到系统路径中。 2. 在命令提示符中输入以下命令,以获取应用程序的包名: ``` adb shell dumpsys package <your.package.name> | grep -E 'package=|codePath=' ``` 3. 使用以下命令获取应用程序的签名哈希: ``` keytool -list -printcert -jarfile <path/to/your/app.apk> ``` 4. 比较当前安装的应用程序的签名哈希与 APK 包中的签名哈希。如果它们匹配,则表示 APK 包与当前安装的应用程序是相同的。 请注意,如果 APK 包与当前安装的应用程序不同,则可能需要重新签名 APK 包并重新安装应用程序。重新签名可能会更改应用程序的哈希值,因此在检查签名哈希之前,请确保重新签名 APK 包。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值