- Java 双重比较
- java - 比较器与 Apache BeanComparator
- Objective-C 完成 block 导致额外的方法调用?
- database - RESTful URI 是否应该公开数据库主键?
关于Android签名验证及其漏洞,我有很多疑问需要解决。
一旦我们为应用程序生成 apk,我们就可以解压 apk 并使用 apktool 编辑资源文件。当我们重新打包编辑后的 apk 时,它会丢失其签名。我可以使用 jarsigner 和我在生成 apk 时使用的我自己的私钥来签名未签名的 apk。我在 playstore 中找到了一个名为 zipsigner 的应用程序,它可以用来对这种未签名的 apk 进行签名。
那么当这个 zipsigner 对未签名的 apk 进行签名时,apk 是使用我的相同私钥签名还是使用不同的 key 签名?因为我的 META-INF 文件夹仍然包含 XXX.SF 和 XXX.RSA 文件,其中包含我的私钥信息。如果它与我的私钥相同,那么新的 apk 将是我的应用程序的升级,或者如果它是不同的 key ,我将拥有两个具有相同名称的不同应用程序。
从上述情况来看,我的 apk 中有可能在重新打包时包含恶意软件。 Android的签名验证机制似乎存在漏洞,META-INF文件夹内文件的消息摘要没有包含在MANIFEST.MF和XXX.SF文件中。这为任何人创造了在这些文件夹中包含恶意软件代码、重新打包 apk 并使用 zipsigner 应用程序退出的可能性。
我正在寻找一种可以防止将文件添加到 META-INF 文件夹中的解决方案,我从下面的博客中找到了一个。但我无法理解解决方案的重点。这看起来更像是一个研究课题,因此互联网上没有太多可用信息。有人可以尝试找出博客中指定的解决方案吗?博客链接在问题下方指定。
http://blog.trustlook.com/2015/09/09/android-signature-verification-vulnerability-and-exploitation/
最佳答案
私钥绝不是分布式 APK 的一部分,除非我误解了您的问题。除非您自己的系统被黑客入侵,否则其他人无法代表您签名。
共享链接 (blog.truSTLook.com) 讨论了 Android 跳过检查具有 .sf(以及具有相关扩展名的文件)扩展名的文件。因此,恶意软件可以将自己隐藏在具有这些扩展名之一的文件中。 修复提到有一个 Android“系统固件”修复,不是可以在应用程序级别完成的东西。这意味着,OEM(谷歌本身或三星/其他)必须发布更新的固件来解决这个问题。检查最新更新,它可能已经修复。
在我看来,即使用户旁加载 APK,这也比真正的攻击/威胁更令人讨厌。有关详细信息,请参阅下面的 Blackhat 论文 - https://www.blackhat.com/docs/ldn-15/materials/london-15-Xiao-What-Can-You-Do-To-An-APK-Without-Its-Private-Key-wp.pdf
您还应该阅读这篇文章,了解防篡改 APK 的潜在方法 - https://www.airpair.com/android/posts/adding-tampering-detection-to-your-android-app
关于java - 安卓签名验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/37850299/
我想将 EditText 始终设置为 LTR,我该怎么做?android:textDirection 似乎确实是答案,我无法让项目使用该指令进行编译 最佳答案 为 editText 使用引力 andr
我希望我的应用在每次打开时都显示登录屏幕。使用 android:clearTaskOnLaunch="true" 一切正常。但是有一个错误,只有在手机关机并且应用程序首先使用小部件启动时才会发生。 I
实际上我的要求是我想将动态文件加载到像图像一样的网页中。视频,音频等,它来自 Assets 或应用程序自己的文件目录,这不是问题。 我尝试使用以下两种方式。 方式一 这是我的 html 文件在 ass
我正在触发一个 DatePickerDialog,在 api 22 (Android 5.1) 之前它一直在工作并显示良好,我在上面设置混合和最大日期(最小 = 当前日期,最大 = 从当前日期开始的
我有一个 ListView ,我在其中将标题 View 添加到该列表。一切都很好,但是当滚动列表 headerview 也随着列表移动时,所以我想避免 headerview 滚动,我的意思是当我列表到
虽然我在android上做过一些app,但我还是一头雾水。是否可以使用 SDK 4.0 中的功能,并在 android 2.1 或更低版本上运行该应用程序? 我尝试了你们提到的方法,但出现错误 - F
您好,我正在开发小型 android 应用程序,我想在其中显示带有一些元素的简单 gridview。它工作正常。唯一的问题是即使有空间,它也总是只显示两列。它平均将屏幕分成 2 列并仅显示两个元素。如
我正在使用 Android 2.3.3 API 构建一个应用程序。我需要识别方向的变化并执行一些操作。所以我在 Android Manifest 中添加了以下内容, android:configCha
我正在尝试在“点击”包含特定 MIME 类型的 nfc 标签时开始一项 Activity 。我制作了一个 mime 类型为“text/plain”的标签,并将其添加到 list 中:
我可以将一些数据保存到文件中 val byteArrayOutputStream = ByteArrayOutputStream() byteArrayOutputStream.wri
我正在尝试解析一个包含复杂阿拉伯字母的 XML 文件.. 当我在 android 2.3.7 上测试时,并不是所有的阿拉伯字母都被支持,仍然有一些复杂的显示为方 block .. 但是在 androi
我需要编写一个方法来确定设备是平板电脑还是手机。我不需要根据这个显示不同的用户界面。我只需要有关设备的信息,以便将来我可以将其发送到指标。 在互联网上,我找到了很多方法来确定设备是否是平板电脑。我已经
我正在玩文字转语音,让我的测试应用程序更有趣。它适用于模拟器,但不适用于我的手机,因为我的默认语言环境不是英语。 但是,文本是英文的,所以 tts 当然应该使用英文。据我所知,我可以实现一个自动安装,
我正在使用 MVVM 和整洁的架构编写应用程序。在其中一个屏幕上,我需要使用 pagination 实现 RecyclerView。我将使用库 Paging3。 Android 开发者推荐在存储库层使
这个问题在这里已经有了答案: I lost my .keystore file? (12 个回答) 4年前关闭。 当我以前的操作系统损坏并安装新的(7 月 3 日)时,以前的 android_key_
我正在使用 MVVM 和整洁的架构编写应用程序。在其中一个屏幕上,我需要使用 pagination 实现 RecyclerView。我将使用库 Paging3。 Android 开发者推荐在存储库层使
在我的 v27\style.xml 中,我有以下代码来设置白色导航栏: @color/colorPrimary @color/colorPrimaryDark @color/
我想通过发送电子邮件 startActivity(Intent.createChooser(new Intent(android.content.Intent.ACTION_SEND))) 我知道要将
我实现了一个自定义 ListView ,它看起来像 Twitter 时间线。 adapter = new MyClickableListAdapter(this, R.layout.timeline,
我有一个显示启动画面的自定义对话框; mSplashDialog = new Dialog(MyActivity.this,R.layout.splash); mSplashDialog.setCon
我是一名优秀的程序员,十分优秀!