Android静态安全检测 -> 升级包数据篡改

最新推荐文章于 2023-03-30 15:50:11 发布

4lwin

最新推荐文章于 2023-03-30 15:50:11 发布

阅读量1.5k

点赞数

分类专栏：【Android静态安全检测】文章标签： Android安全升级包篡改 getExternalStorageDi

本文链接：https://blog.csdn.net/u013107656/article/details/51880993

版权

【Android静态安全检测】专栏收录该内容

43 篇文章 35 订阅

订阅专栏

升级包数据篡改 - getExternalStorageDirectory方法

一、API

1. 继承关系

【1】java.lang.Object

【2】android.os.Environment

2. Environment.getExternalStorageDirectory()

返回：类型(File),外部存储的路径

3. 参考链接

https://developer.android.com/reference/android/os/Environment.html#getExternalStorageDirectory()

二、触发条件

1. apk文件类型

【1】对应的特征：application/vnd.android.package-archive

【2】参考链接：

http://blog.csdn.net/heikefangxian23/article/details/38582261

2. apk包存放在外部存储

【1】对应的特征:

/sdcard

Landroid/os/Environment;->getExternalStorageDirectory(

三、漏洞原理

【1】软件自动更新时下载的升级包文件放到了外存中，该文件可能会被篡改，导致遭受攻击

【2】参考链接

http://zkread.com/article/955751.html

http://www.peep-squirrel.com/itcontent-2717447.html

四、修复建议

【1】不要把升级包文件放到外存，另外升级包下载完成后要对升级包进行校验，以防文件被篡改

【2】升级包文件可以放在内部缓存目录getCacheDir下

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

4lwin

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

[车联网安全自学篇] Android安全之APK内存敏感信息泄露挖掘「静态分析」

橙留香Park的博客

08-30

654

什么是进程内存？Android 上的所有应用程序都使用内存来执行正常的计算操作，就像任何普通的现代计算机一样。因此，有时敏感操作将在进程内存中执行也就不足为奇了。出于这个原因，重要的是，一旦相关的敏感数据被处理，它应该尽快从进程内存中释放出来注：我们可以通过内存转储以及通过调试器实时分析内存来检测APK应用程序的内存为什么要分析设备中的内存信息？先说说内存泄漏是指的是那些在堆里分配的、但是无法被释放或者无法被重新分配的内存。............

【愚公系列】2024年02月《网络安全应急管理与技术实践》 005-网络安全应急技术与实践（黑客入侵技术）

最新发布

时光隧道

02-06

7万+

WHOIS查询是一种用于确定域名或IP地址的所有者和注册信息的公共数据库查询服务。使用WHOIS查询，您可以查找域名的注册商、注册日期、到期日期、域名所有者的联系信息以及域名服务器等相关信息。WHOIS协议通常使用TCP端口43进行通信。请注意，由于WHOIS是公开数据库，因此某些敏感信息（例如个人联系信息）可能会被隐藏或保护，以保护个人隐私。

参与评论您还未登录，请先登录后发表或查看评论

android 资源被窜改,Android应用程序篡改检测研究（含验证代码）

weixin_39865277的博客

05-26

884

Android应用程序在上传至Play Sotre之前，开发者需要先使用私钥来对其进行签名。每一个私钥都与一个公共证书进行绑定，而设备和服务都需要利用这个证书来验证应用程序来自一个可信的源。应用程序更新同样依赖于这个签名机制，因为更新程序的签名必须跟已安装App的签名相同，才能完成更新。然而，在Play Store中发布APK其实是非常简单的。广大开发人员可以通过在根设备中下载APK来获取到APK...

Android增量更新和签名校验

z240336124的专栏

04-19

2032

1. 概述　　NDK图片压缩有很多人反应是蒙的，包括在文章评论的一些哥们，也包括私下聊天的一些哥们。那么内涵段子后面的所有分享都离不开NDK，比如gif图片加载，视频压缩，视频直播推流等等。当然我们也可以去网上下载别人写好的，但是对于我们来说没任何意义。经过后来一系列的考虑，内涵段子项目暂时告一个段落。希望后面有时间出一些C和C++的语法基础，然后我们再来讲，这期是现阶段最后一次分享NDK了，这次我

android 升级包检测并更新实现

喧嚣求静

11-10

499

[b]android 升级包检测并更新实现[/b] 实现步骤： 1.获取当前android程序的包名或版本代码 [code="java"] public class Version { public int getCode() { //android.content.ContextWrapper.getPackageManager() P...

安卓添加“篡改检测”到应用程序

一二说

06-23

385

介绍 Android应用程序被压缩、打包和分发为.apk文件，类似于.jar或.zip文件。它们通常包含应用程序需要的所有编译资源（编译代码、图像、布局、xml文件、数据库等）。但是，apk可以用简单的归档软件提取，编译后的源代码可以用APKTool和Dex2Jar等免费开源工具轻松反编译。原文：Android Security: Adding Tampering Detection to Your App 内容 1.校验自身签名与预设字符串是否相同 private static final in

android 安卓应用防二次打包防重签名防篡改安全加固

07-22

目前移动领域出现了相当部分的安全问题，新的恶意软件层出不穷，同时，企业对敏感数据保密性意识日益提高，作为移动开发者，有责任对最终用户的隐私和安全承担更多责任。另一方面，APP被篡改、盗用，直接伤害了开发者的知识和劳动权益，移动开发者有必要保护自己的利益不受损失。这里实现了安卓移动APP防二次打包、防重签名、防篡改的自动化一键式加固工具。成熟的安全加固方案，均已实现和投入使用，解决了企业和个人的安全问题。针对开发者指定的移动应用（apk），以本地工具的方式，自动完成加固。技术实现上，类似360加固宝、梆梆加固、爱加密、阿里聚安全类似。实现了： - 签名运行时校验 - 资源文件运行时校验 - dex资源运行时校验 - 其他资源运行时校验保护个人移动应用或企业数据的安全性。如有源码需要，请联系作者本人。QQ：164836265

Android应用安全检测项目

苛学加记事

07-08

6984

Android应用安全检测项目使用静态检测引擎对APK文件进行反编译，扫描反编译后的代码文件即可发现应用的安全漏洞。一般有以下内容，比较有参考价值，部分是平时编码时有可能忽略的问题，在此整理供大家参考。 1. 基础信息 1.1 权限过度声明风险检测检测应用中是否存在权限滥用情况。权限是一种安全机制，主要用于限制应用程序内部某些具有限制性特性的功能使用以及应用程序之间的组件访问。Android通过在AndroidManifest.xml中增加权限来控制限制性功能的使用和组件访问。权限滥用是指应用权限开

android安全测试方法

12-20

在进行Android应用的安全测试时，可以分为多个测试项目，包括但不限于源代码安全检测、加固壳识别、反编译风险检测、动态加载SO文件风险检测、二次打包及篡改风险检测、资源文件泄露风险检测、测试模式发布风险检测...

Android敏感数据泄漏预防与生根检测使用Java函数挂钩

沙特国王大学学报Android敏感数据泄漏预防与生根检测使用Java函数挂钩Benfano Soewito Agung Suwandaru计算机科学系，Binus研究生课程阿提奇莱因福奥文章历史记录：收到2020年2020年7月1日修订2020年7月14日接受2020...

Android例子源码检测升级MD5校验zip下载文件实现

07-29

本例子是一个应用升级下载的例子源码，比较有好的参考性，思路是先从服务器自动检测更新zip包，如果有新版本，则立即下载更新。期间使用md5验证压缩包的完整性，更新完成后能够立即解压到定义的文件夹下。稍加修改，能改为升级apk应用，更新广告图片等功能。从网络下载一个文件，往往在使用之前需要先验证其文件的完整有效性，这个md5生成验证码的工具，就非常实用了。一个放入服务器端的报文中，另一个在代码中使用MD5检验,两边一对比，如果生成字串一致，那么即可说明文件是完整的。

实战-第三方平台系统升级签名校验问题

u010927489的专栏

12-17

1099

系统升级、签名问题

实战-Android OTA包增加校验的一种实现

u010927489的专栏

12-21

1492

OTA 包校验、OTA 脚本生成文件

Android系统Recovery工作原理之使用update.zip升级过程分析（二）---update.zip差分包问题的解决

mu0206mu的专栏

04-16

1万+

Android系统Recovery工作原理之使用update.zip升级过程分析（二）---update.zip差分包问题的解决在上一篇末尾提到的生成差分包时出现的问题，现已解决，由于最近比较忙，相隔的时间也比较长，所以单列一个篇幅提示大家。这个问题居然是源码中的问题，可能你已经制作成功了，不过我的这个问题确实是源码中的一个问题，不知道是不是一个bug，下文会具体分析！一、生

Android11.0 OTA差分包升级失败kDownloadStateInitializationError

Framework-coder的博客

03-30

2995

AB_OTA升级模式开启条件下()，进行线刷验证OTA升级。

Android升级apk签名文件校验

WeLoveSunFlower的专栏

05-12

1504

升级apk流程：从服务器下载更新的apk----对apk做校验----安装apk 本文讲一下对apk做签名文件校验，实际上就是获取本机已安装apk的签名和从服务器下载的apk的签名，计算两个签名文件的MD5，如果MD5一样，就说明签名文件正确。 boolean sigMd5 = veritySignature(getUpdateApkName(), downloadpath + filename); private boolean veritySignature(String pkgName, String

android apk签名（为什么如何做验证）

Zhangh423的专栏

06-03

979

android apk签名（为什么如何做验证）这篇文章其实就是根据自己的疑问然后结合多个文章结合成的文章引用： http://liangxh2008.blog.163.com/blog/static/112411679201041321646855/http://www.pgcw.com.cn/Newsdetail.asp?id=257565010http://www

【Android安全】安卓app 防篡改方案总结

Juruo@Security

08-22

1475

安卓app 防篡改方案总结

App安全（一） Android防止升级过程被劫持和换包

Tamic （大白）

08-17

1万+

文/ Tamic 地址/ http://blog.csdn.net/sk719887916/article/details/52233112 前言APP 安全一直是开发者头痛的事情，越来越多的安全漏洞，使得开发者越来越重视app安全，目前app安全主要有由以下几部分APP组件安全Android 包括四大组件：Activitie、Service、Content Provider、Broadba

基于K-means的Android权限检测与安全分析

"这篇论文研究了基于K-...这篇论文的研究工作结合了静态分析、TF-IDF权重分配、敏感值计算以及K-means聚类，形成了一套完整的Android权限检测流程，对于Android系统的安全管理和用户隐私保护具有重要的理论与实践意义。