Android App签名(证书)校验过程源码分析

最新推荐文章于 2024-05-16 16:12:40 发布
最新推荐文章于 2024-05-16 16:12:40 发布
阅读量8.5k 收藏 14
点赞数 2
分类专栏: Android安全 文章标签: android 签名校验 源码分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010651541/article/details/52652690
版权

  Android App安装是需要证书支持的,我们在Eclipse或者Android Studio中开发App时,并没有注意关于证书的事,也能正确安装App。这是因为使用了默认的debug证书。在Android App升级的时候,证书发挥的作用就尤为明显了。只有证书相同时,才能对App进行升级。证书也是为了防止App伪造的,属于Android安全策略的一部分。另外,Android沙箱机制中,也和证书有关。两个App如要共享文件,代码,或者资源时,需要使用shareUid属性,只有证书相同的App的才能shareUid。才外,如果一个App中申明了signature级别的权限,也是只有和那个App签名相同的App才能申请到对应的权限。

  虽然之前也了解过Android App的签名校验过程,但都是根据别人总结的结果,没有自己动手分析Android源码。所以本篇Blog将从源码出发分析Android App的签名校验过程,分析完源码之后,也会和网上大多数的资料一样给出总结。

  注意:由于签名校验过程是在App安装时进行的,所以源码分析的起始点是上篇Blog:PackageInstaller源码分析。不过不想了解PackageInstall源码也没有关系,只要不纠结程序的起点,分析过程就是App 签名校验模块。

一、 源码分析

  上篇BlogPackageInstaller源码分析中,程序安装过程调用了installPackageLI()方法。而在installPackageLI()方法内部,调用了collectCertificates()方法,从而进入了App的签名检验过程。下面我们查看collectCertificates()的源码实现,源码路径:/frameworks/base/core/java/android/content/pm/PackageParser.java

public void collectCertificates(Package pkg, int flags) throws PackageParserException {
    pkg.mCertificates = null;
    pkg.mSignatures = null;
    pkg.mSigningKeys = null;

    collectCertificates(pkg, new File(pkg.baseCodePath), flags);

    if (!ArrayUtils.isEmpty(pkg.splitCodePaths)) {
        for (String splitCodePath : pkg.splitCodePaths) {
            collectCertificates(pkg, new File(splitCodePath), flags);
        }
    }
}
private static void collectCertificates(Package pkg, File apkFile, int flags)
        throws PackageParserException {
    final String apkPath = apkFile.getAbsolutePath();

    StrictJarFile jarFile = null;
    try {
        jarFile = new StrictJarFile(apkPath);

        // Always verify manifest, regardless of source
        final ZipEntry manifestEntry = jarFile.findEntry(ANDROID_MANIFEST_FILENAME);
        if (manifestEntry == null) {
            throw new PackageParserException(INSTALL_PARSE_FAILED_BAD_MANIFEST,
                    "Package " + apkPath + " has no manifest");
        }

        final List<ZipEntry> toVerify = new ArrayList<>();
        toVerify.add(manifestEntry);

        // If we're parsing an untrusted package, verify all contents
        if ((flags & PARSE_IS_SYSTEM) == 0) {
            final Iterator<ZipEntry> i = jarFile.iterator();
            while (i.hasNext()) {
                final ZipEntry entry = i.next();

                if (entry.isDirectory()) continue;
                if (entry.getName().startsWith("META-INF/")) continue;
                if (entry.getName().equals(ANDROID_MANIFEST_FILENAME)) continue;

                toVerify.add(entry);
            }
        }

        // Verify that entries are signed consistently with the first entry
        // we encountered. Note that for splits, certificates may have
        // already been populated during an earlier parse of a base APK.
        for (ZipEntry entry : toVerify) {
            final Certificate[][] entryCerts = loadCertificates(jarFile, entry);
            if (ArrayUtils.isEmpty(entryCerts)) {
                throw new PackageParserException(INSTALL_PARSE_FAILED_NO_CERTIFICATES,
                        "Package " + apkPath + " has no certificates at entry "
                        + entry.getName());
            }
            final Signature[] entrySignatures = convertToSignatures(entryCerts);

            if (pkg.mCertificates == null) {
                pkg.mCertificates = entryCerts;
                pkg.mSignatures = entrySignatures;
                pkg.mSigningKeys = new ArraySet<PublicKey>();
                for (int i=0; i < entryCerts.length; i++) {
                    pkg.mSigningKeys.add(entryCerts[i][0].getPublicKey());
                }
            } else {
                if (!Signature.areExactMatch(pkg.mSignatures, entrySignatures)) {
                    throw new PackageParserException(
                            INSTALL_PARSE_FAILED_INCONSISTENT_CERTIFICATES, "Package " + apkPath
                                    + " has mismatched certificates at entry "
                                    + entry.getName());
                }
            }
        }
    } catch (GeneralSecurityException e) {
        throw new PackageParserException(INSTALL_PARSE_FAILED_CERTIFICATE_ENCODING,
                "Failed to collect certificates from " + apkPath, e);
    } catch (IOException | RuntimeException e) {
        throw new PackageParserException(INSTALL_PARSE_FAILED_NO_CERTIFICATES,
                "Failed to collect certificates from " + apkPath, e);
    } finally {
        closeQuietly(jarFile);
    }
}

  在collectCertificates(Package pkg, File apkFile, int flags)函数里面,首先提取apk的manifest.xml文件。

final ZipEntry manifestEntry = jarFile.findEntry(ANDROID_MANIFEST_FILENAME);
if (manifestEntry == null) {
   throw new PackageParserException(INSTALL_PARSE_FAILED_BAD_MANIFEST,
           "Package " + apkPath + " has no manifest");
}
final List<ZipEntry> toVerify = new ArrayList<>();
toVerify.add(manifestEntry);

  然后,程序遍历apk文件的所有文件节点,把除了META-INF/文件夹里面的文外外的所以文件加入待检验List。

// If we're parsing an untrusted package, verify all contents
if ((flags & PARSE_IS_SYSTEM) == 0) {
    final Iterator<ZipEntry> i = jarFile.iterator();
    while (i.hasNext()) {
        final ZipEntry entry = i.next();

        if (entry.isDirectory()) continue;
        if (entry.getName().startsWith("META-INF/")) continue;
        if (entry.getName().equals(ANDROID_MANIFEST_FILENAME)) continue;

        toVerify.add(entry);
    }
}

  紧接着把所以节点传入loadCertificates()方法,

for (ZipEntry entry : toVerify) {
   final Certificate[][] entryCerts = loadCertificates(jarFile, entry);
   if (ArrayUtils.isEmpty(entryCerts)) {
       throw new PackageParserException(INSTALL_PARSE_FAILED_NO_CERTIFICATES,
               "Package " + apkPath + " has no certificates at entry "
               + entry.getName());
   }
   final Signature[] entrySignatures = convertToSignatures(entryCerts);

   if (pkg.mCertificates == null) {
       pkg.mCertificates = entryCerts;
       pkg.mSignatures = entrySignatures;
       pkg.mSigningKeys = new ArraySet<PublicKey>();
       for (int i=0; i < entryCerts.length; i++) {
           pkg.mSigningKeys.add(entryCerts[i][0].getPublicKey());
       }
   } else {
       if (!Signature.areExactMatch(pkg.mSignatures, entrySignatures)) {
           throw new PackageParserException(
                   INSTALL_PARSE_FAILED_INCONSISTENT_CERTIFICATES, "Package " + apkPath
                           + " has mismatched certificates at entry "
                           + entry.getName());
       }
   }
}

  要知道loadCertificates()的作用需要分析其方法实现原型。在PackageParser.java中实现了loadCertificates()方法。

private static Certificate[][] loadCertificates(StrictJarFile jarFile, ZipEntry entry)throws PackageParserException {
   InputStream is = null;
   try {
       // We must read the stream for the JarEntry to retrieve
       // its certificates.
       is = jarFile.getInputStream(entry);
       readFullyIgnoringContents(is);
       return jarFile.getCertificateChains(entry);
   } catch (IOException | RuntimeException e) {
       throw new PackageParserException(INSTALL_PARSE_FAILED_UNEXPECTED_EXCEPTION,
               "Failed reading " + entry.getName() + " in " + jarFile, e);
   } finally {
       IoUtils.closeQuietly(is);
   }
}

  在StrictJarFile.java中,实现了getCertificateChains()方法,代码路径/libcore/luni/src/main/java/java/util/jar/StrictJarFile.java。

public Certificate[][] getCertificateChains(ZipEntry ze) {
if (isSigned) {
   return verifier.getCertificateChains(ze.getName());
}

return null;
}

  StrictJarFile.java中的getCertificateChains()继续调用JarVerifier中的getCertificateChains()方法,代码路径:/libcore/luni/src/main/java/java/util/jar/JarVerifier.java。

Certificate[][] getCertificateChains(String name) {
    return verifiedEntries.get(name);
}
private final Hashtable<String, Certificate[][]> verifiedEntries=new Hashtable<String,
最低0.47元/天 解锁文章
Venscor
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Android学习心得(21) --- apk签名码解析
qiuyu93422的博客
09-29 1069
新博客地址blog.marssecure.com重打包检测对于apk重打包检测中,验证签名是一种很简单、很快捷的方法,为了更好理解签名,这一章主要讲解apk中签名文件内容签名:每一个apk发布之前都需要进行签名,不然不能进行安装,我们使用winrar来查看一个apk包 我们可以看到其目录结构,关注一下META-INF这个文件,里面包含三个文件 下面我们来解压缩,打开看看里面内容 码位
Android签名机制之---签名验证过程详解
尼古拉斯.赵四的博客
04-18 4587
一、前言 今天我们继续来看一下Android中的签名机制的姊妹篇:Android中是如何验证一个Apk的签名。在前一篇文章中我们介绍了,Android中是如何对程序进行签名的,当然在了解我们今天说到的知识点,这篇文章也是需要了解的,不然会有些知识点有些困惑的。 二、知识摘要 在我们没有开始这篇文章之前,我们回顾一下之前说到的签名机制流程: 1、对Apk中的每个文件做一次算法(数据摘要...
Android安卓APK签名的机制原理及方法
w708955424的博客
04-01 934
执行命令后,jarsigner会使用指定的私钥对APK进行签名,并生成带有签名的APK文件。2. 签名信息的一致性:在应用的整个生命周期中,应始终使用相同的密钥库文件和私钥进行签名Android Studio会使用提供的密钥库文件对APK进行签名,并生成带有签名的APK文件。1. 应用身份识别:每个APK文件都有一个唯一的签名,这个签名就像是应用的“身份证”,系统通过它来识别应用的身份。4. 权限授予:某些系统级权限的授予会基于APK的签名,比如共享UID的应用,需要相同的签名才能共享数据。
安卓apk查看证书详情
最新发布
2301_76865932的博客
05-16 380
2.解压当前zip压缩包,得到一个文件,打开该文件会有一个META-INF文件,打开该文件会有一个后缀名为.RSA的文件。1.拿到打包好的apk文件之后,修改后缀名apk为zip,得到一个zip的压缩包。3.复制该文件到一个空文件夹中。
Android签名证书文件的解析和签名校验的加强
01-10
Android签名证书文件的解析和签名校验的加强
Android5.1.1 - APK签名校验分析和修改码绕过签名校验
weixin_34360651的博客
07-25 270
为什么80%的码农都做不了架构师?>>> ...
android 关于利用签名的SHA1进行安全校验的方法之一(推荐)
01-05
最近做安卓项目中使用到了百度地图的API,在申请百度地图key的时候,需要我们填入“签名的SHA1”和“客户端包名”,然后百度为我们生成一个key。 于是就引发了思考,百度为何需要我们客户端签名的SHA1值呢? 第一想法就是:百度拿我们输入的参数SHA1和包名进行一些列算法计算,生成一个key返回给我们。 为了证明这个想法,写了demo进行测试,android获取包名的方法很简单,但是我们还需要从客户端中获取keystore的指纹SHA1。 进行各种资料的查找和分析,才得出方法。 一、首先,科普一下apk包下的META-INF目录 我们已经知道的是:Android对每一个Apk文件都会进行签名
APK解析(版本、包名、导出资图片、证书相关信息、签名认证、权限、Activity等)
01-14
这个工具前后用了好多天的时间查阅资料并不断修改才完成。本工具可以用于读取apk包的大量信息,无其他依赖。可以直接通过命令行运行,也可以当作架包使用。 命令行方式使用举例: 获取AndroidManifest.xml文件中定义的versionCode: java -jar ApkAnalysis.jar “apk路径” -versionCode 获取apk证书详情: java -jar ApkAnalysis.jar “apk路径” -certs 获取apk证书中的第一条的详情: java -jar ApkAnalysis.jar “apk路径” -certs 0 获取证书摘要(百度、高德地图等API中需要的那个SHA1): java -jar ApkAnalysis.jar “apk路径” -certs 0 SHA1 获取apk发布者信息: java -jar ApkAnalysis.jar “apk路径” -certs 0 issuer 获取apk声明的权限: java -jar ApkAnalysis.jar “apk路径” -permissions 当作为架包使用时,通过 ApkAnalysis apkAnalysis = ApkAnalysis.getApkReader(apkFilePath); 获取到ApkAnalysis的实例,然后就调用对应方法读取即可。相信都会使用自动补全等功能吧?那个会告诉你有哪些可用的方法,这里不例举了。 输入 java -jar ApkAnalysis.jar -help会给出如下提示,请慢慢研究。如果好用,请不吝评价一下,谢谢~至于码么,会反编译的就反编译吧,我也拦不住的,纯Java写的,还是很好反编译的,也没有代码混淆过。感兴趣愿意一起交流的可以留言问我要,纯粹伸手党就算了。 Apk分析工具 v1.0.7 编译时JDK版本:1.6.0_33 当前JRE版本:1.6.0_33 作者:周骞 发布日期:2015-01-08 --------------------------------------------------- ApkAnalysis [-versionCode] [-versionName] [-packageName]... 可用的选项: -versionCode 版本号 -versionName 版本名称,如1.0.3 -packageName Apk包名 -certs [index] [MD5|SHA1|issuer|subject|validity] 获取证书的信息 -verify 校验apk内文件的签名,并列出未通过校验的文件 -permissions 获取apk所需的权限 -features 获取apk所需的特性 -activities [detail] 获取apk所含的Activity -services [detail] 获取apk所含的Service -receivers [detail] 获取apk所含的静态Receiver -content [name] 获取AndroidManifest.xml中的内容 -extract 抽取apk中的文件 -h[elp] 显示此帮助信息 --------------------------------------------------- 如在程序中引用本包,方法如下: ApkAnalysis apkAnalysis = ApkAnalysis.getApkReader(apkFilePath); 需要判断apkAnalysis是否为null,为null表示读取失败,不为null时即可调用getXX()获取数据
Android APP之WebView校验SSL证书的方法
08-29
"Android APP之WebView校验SSL证书的方法" Android APP之WebView校验SSL证书的方法是Android应用程序中一个非常重要的安全机制。SSL证书校验是指Android APP中的WebView组件在访问HTTPS站点时,如何验证服务器提供...
Android小项目——新闻APP码)
02-26
Android小项目——新闻APP码),一个很简单的可以练手的Android Demo Ps:下载之前可以先看一下这篇文章——https://blog.csdn.net/qq_34149526/article/details/80992341
基于Android的天气查询APP设计
04-11
码提供了一个基于Android的天气查询APP设计。项目包含151个文件,其中包括73个PNG图片、28个JPG图片、25个XML文件、10个Java文件、3个APK文件、2个TTF字体文件、2个JAR文件、1个Gitignore文件和1个LICENSE文件...
android 背单词app码(高分项目).zip
03-14
android 背单词app码(高分项目).zipandroid 背单词app码(高分项目).zipandroid 背单词app码(高分项目).zipandroid 背单词app码(高分项目).zipandroid 背单词app码(高分项目).zipandroid 背单词...
Android APP签名脚本
05-23
此脚的作用是未签名安卓app进行签名,在Windows系统进行运行,方便大家配置操作,直接运行signapk.bat脚本后按照提醒添加签名文件,添加需要签名app,以及签名app名称和路径。
为你的android App实现自签名的ssl证书(https)
热门推荐
彭思正的博客
04-15 3万+
不愿意看啰嗦的可以直接去          实现步骤 最近公司项目用到https的接口形式,对于一般的网络请求 我们用的是http://******      使用的是 代码用来打开一个 http 连接. URL urlConnection = new URL("http://www.codeproject.com/"); HttpURLConnection urlCo
keytool生成证书_Android HTTPS 自制证书实现双向认证OkHttp + Retrofit + Rxjava
weixin_39626690的博客
12-01 262
欢迎关注专栏:里面定期分享Android和Flutter架构技术知识点及解析,还会不断更新的BATJ面试专题,欢迎大家前来探讨交流,如有好的文章也欢迎投稿。Flutter跨平台开发终极之选​zhuanlan.zhihu.com由于最近要做一个安全性比较高的项目,因此需要用到HTTPS进行双向认证。由于设计项目架构的时候,客户端是采用MVVM架构,基于DataBinding + Retrofit +...
app-从0到1实现(四)Android端自制https证书实现双向认证
ostracod
12-09 719
相关文章 1.开app-从0到1实现(一)效果预览 2.开app-从0到1实现(二)项目运行 3.开app-从0到1实现(三)爬虫实现数据采集 1. 背景 前一阶段学习了服务端的知识,然后就写了一套接口,然后在阿里云上面租了一个服务器将服务部署到服务器上面,由于域名一直没有备案成功,所以只能通过 ip 的方式进行访问。通过 ip 的方式其实也没什么大不了的,前阶段工作中还简单实现了一套 HTTPDNS,原理其实也是通过 ip 直连的方式进行接口访问。本人是 Android 端开发,写了一套接口,然后.
框架Android-Query 实现https自签名ssl证书验证
wjzabc的专栏
07-11 772
protected void onCreate(Bundle savedInstanceState, int layoutResID) {super.onCreate(savedInstanceState);setContentView(layoutResID);javax.net.ssl.SSLPeerUnverifiedException e;mTitlebar = (TitleBarView
android证书链管理,Android手册X509证书链验证
weixin_42516657的博客
05-26 598
我已在我的代码中实现了javax.net.ssl.X509TrustManager,因此我可以验证我的软件访问的自签名证书.但是,我仍然需要验证其他一些“标准”网站SSL证书.我使用CertPathValidator.validate()来做到这一点,但我刚刚意识到我传递的一个证书链(对于maps.googleapis.com)实际上并不包含完整的链 – 它包含整个链但是根CA (Equifax)...
如何在Android中增加自己的应用签名校验
myvest的专栏
12-06 8047
需求:在android原本的签名校验系统中,添加自己的校验过程Android使用Java的数字证书相关的机制来给apk加盖数字证书,要理解Android数字证书,需要先了解以下数字证书的概念和java的数字证书机制。1、基础概念数字证书:数字证实是采用数字手段来证实用户身份的一种方法。数字证书含有两部分数据:一部分是对应主体(单位或个人)的信息,另一部分是这个主体所对应的公钥。即数字证书保存了主体
如何用charles判断 Android App是否使用了证书校验
03-08
您可以使用Charles的SSL Proxying功能来判断Android App是否使用了证书校验。首先,您需要在Charles中启用SSL Proxying,并将其配置为允许所有证书。然后,您需要在Android设备上安装Charles的SSL证书。接下来,您可以打开Android App并查看Charles的SSL Proxying选项卡,以查看App是否使用了证书校验。如果App使用了证书校验,您将看到与证书相关的请求和响应。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值