如何检查手机上的 App 是不是正版?

作者 | Aditi Bhatnagar

译者 | 苏本如,责编 | 郭芮

头图 | CSDN 下载自视觉中国

出品 | CSDN(ID:CSDNnews)

以下为译文:

仔细看看你的安卓手机上的应用程序,你如何确保它们都是正版的?也就是说,你如何确保你手机上的Instagram应用是正版程序,而不是复制的或假冒的。

当你在网上冲浪的时候,你可以尝试找出一个网站是否是真实的。对于网站而言,我们有证书、有安全锁标志、有完整的URL等等,这些可以帮助我们知道网站是真实的和安全的。那么,对于所有的安卓应用程序而言,我们是否也有一个等效的、可以帮助我们识别的东西呢?

作为一个安卓手机的用户,当我转到“设置/应用程序信息”时,我只能看到下面这些:

你应该注意到,没有一个直接的方法可以检查应用程序的真实性。对于从谷歌应用商店(Google play store)中安装的应用程序,我们确实可以看到一个链接指向该应用程序在谷歌应用商店的地址,但是除此以外,我们找不到任何其他信息或者一些有效性的证明。

那么,如何可靠地检查应用程序的真实性呢?同时,安卓应用程序如何检查同一设备上的、和它们协同工作或交换信息的其他应用程序的真实性呢?

答案是:签名证书信息。

出于安全方面的考虑,安卓系统上的所有应用程序在部署到应用商店之前都需要正式地签名。

所以,在了解了为什么我们需要应用程序的签名之后。我们将在本文深入探讨下列问题:什么是应用程序签名?如何才能实现它?以及它如何保证应用程序的真实性?

什么是应用程序签名?

应用程序签名是在操作系统的最内部实现的。

根据安卓官方提供的文档:

“应用程序签名允许开发人员识别应用程序的作者,并且允许他们在无需创建复杂的接口和获得许可的情况下,更新其应用程序。这样,开发人员就知道他们的应用程序是未经修改地提供给安卓设备使用的;并且开发人员可以对其应用程序的行为负责。”

在安卓系统上,应用程序签名是将应用程序放入其应用程序沙盒的第一步。签名的应用程序证书定义了哪个用户ID与哪个应用程序相关联;不同的应用程序在不同的用户ID下运行。应用程序签名确保一个应用程序不能访问任何其他应用程序,除非通过定义良好的IPC

如何实现应用程序签名?

安卓提供了使用自签名证书的代码签名方法,开发人员可以在没有外部帮助或许可的情况下生成这些证书。证书的申请不需要一个中央机构来签署批准。

安卓系统支持三种应用程序签名方案:

v1方案:基于 JAR 签名

这个方案是基于签名的JAR包。这里要注意的是:v1签名方案并不会保护APK内的所有文件,会存在一些例外部分,这些部分即便被修改也不会导致签名失效,比如ZIP元数据。APK验证器需要处理大量不受信任(尚未验证)的数据结构,然后丢弃签名未涵盖的数据。这提供了一个相当大的攻击面。此外,APK验证器必须解压缩所有的压缩条目,从而消耗更多的时间和内存。为了解决这些问题,安卓7.0引入了APK签名方案v2。

v2方案:亦即APK签名方案v2,在Android 7.0中引入。

v3方案:亦即APK签名方案v3,在Android 9中引入。

运行安卓7.0及更高版本的设备支持APK签名方案v2(亦即v2方案)和它的更高版本。(在Android P中,v2方案被更新为v3方案,以支持在签名块中包含附加信息,但在其他情况下也一样。)。v2方案对APK的内容进行散列和签名,然后将生成的APK签名块插入APK中。

应用程序可以非常简单地通过Android Studio的选项或命令行进行签名。

打开Android Studio,进入Build > Generate Signed APK。

你可以按照下文中的步骤进行操作,来生成一个签名密钥:https://developer.android.com/studio/publish/app-signing#sign-apk。

当你可以选择谷歌应用商店对你的应用的每一个版本进行签名时,你有很多选择。详情请参照上面的链接。

生成密钥并查看其内容的简单命令分别如下:

生成秘钥:

keytool -genkey -v -keystore <keystorealias> -storepass <keyStorePassword> -alias <keyAlias> -keypass <keyPassword>  -keyalg RSA -keysize 2048 -validity 30000

查看秘钥:

keytool -list -v -keystore <keystorealias> -alias <keyAlias> -storepass <keyStorePassword> -keypass <keyPassword>

备注:你需要用实际值替换上面尖括号里的变量。根据你的应用程序的实际需要,设置生成密钥、密钥大小和有效日期(以天为单位)的算法需要提供的值。

此外,还可以使用APKSigner和ZipAlign工具来检查,这些工具很方便(本文将不讨论它们,但是它们非常值得探讨)。

如何通过代码检查应用程序签名信息?

下面的代码可以用来检查应用程序签名信息:

public boolean validateAppSignature(Context context)  throws NameNotFoundException {
PackageInfo packageInfo = context.getPackageManager().getPackageInfo(getPackageName(), PackageManager.GET_SIGNATURES);
//note sample just checks the first signature
for (Signature signature : packageInfo.signatures) 
{ // SHA1 the signature
String sha1 = getSHA1(signature.toByteArray());
// check is matches hardcoded value
return APP_SIGNATURE.equals(sha1);}
return false;}

当一个应用程序(APK文件)被安装到安卓设备上时,包管理器将验证APK文件是否已经使用该APK中包含的证书正确地签名。如果证书(或者更准确地说,证书中的公钥)与用于在设备上签署任何其他APK的密钥匹配,则新APK可以在清单中指定它将与其他类似签名的APK共享UID。

如果设备上的私有签名密钥丢失,会出现什么情况?

这将导致旧的应用程序无法更新!这种情况下,它将生成一个新的包名&一个新的证书。比如说:

Authenticator应用程序是一个身份验证程序,这个应用程序的一个私有应用程序签名密钥丢失或受损,因为在几年前的一次更新中,它的软件包名称从com.google.android.apps.authenticator被更改为com.google.android.apps.authenticator2。由于此更改,所有后续的Authenticator应用程序更新只能以新的程序包名称发布,并且使用由新的专用签名密钥生成的新签名。

不过,最近谷歌公司也增加了对“rolling key”的支持,这可能会在有这种麻烦的情况下为开发者节轻一点压力。

以上所有这些内容供你参考,希望你能从中获得一些帮助。签名是一个至关重要的场景,需要深入了解才能理解安卓系统的整体安全状况。

原文:https://hackernoon.com/how-to-check-whether-the-mobile-app-on-your-phone-is-authentic-or-not-j9gt32lw

本文为 CSDN 翻译,转载请注明来源出处。

【END】

更多精彩推荐

NB-IoT 连接数过亿,开发者如何抓住新机遇?

华为云跻身Gartner报告中国三强,预示云计算市场的未来变局?

☞数据库激荡40年,深入解析PostgreSQL、NewSQL演进历程

☞黑客用上机器学习你慌不慌?这 7 种窃取数据的新手段快来认识一下!

☞超详细!一文告诉你 SparkStreaming 如何整合 Kafka !附代码可实践

☞Libra的Move语言初探,10行代码实现你第一个智能合约

你点的每个“在看”,我都认真当成了喜欢

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/70686.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

平面图

一 平面图概念 可以看成可平面图和平面图是同构的。 二 平面图性质 平面图的所有面的次数之和等于边数的两倍。 三 图的嵌入性问题 暂略

某小区6层住宅楼施工组织设计(图纸,横道图和施工总平面图,论文,工程量计算)

**市某小区住宅楼技术标编制 摘 要 随着建筑行业的发展&#xff0c;建筑设计的优劣将直接受其影响。在严格按照业主要求的条件下&#xff0c;结合现目前的建筑发展趋势&#xff0c;设计主体主要采用中、小户型灵活利用相结合的形式&#xff0c;达到合理、灵活的布置空间&…

【建筑类】1000套住宅户型CAD图纸

【建筑类】1000套住宅户型CAD图纸 资源文件为压缩包形式&#xff0c;没有套路&#xff0c;无需解压密码。 文件夹架构 图纸格式为DWG格式&#xff0c;用CAD软件打开 CAD打开的平面图 二室二厅76平米12平面图 资源链接 好资源分享来之不易&#xff0c;给有需要的人获取带来…

3381.54平米六层砖混住宅楼施工组织设计及施工图预算(建筑、结构图、平面图、进度表)

XX城一期1#施工组织设计及施工图预算 摘 要 本毕业设计完成了施工图预算和施工组织设计两大部分。 施工图预算包含工程量计算和套价两部分。工程量计算包括建筑工程部分和装饰装修部分。建筑工程部分包括土石方工程、砌筑工程、钢筋混凝土工程、木结构工程、屋面及防水工程、…

平面图的基本概念及性质

平面图的基本概念及性质 前言&#xff1a; 内容来源这篇博客 原文链接 为了免去跳转麻烦&#xff0c;直接复制博客内容过来。 基本概念 平面图&#xff1a;设无向图G&#xff0c;若能将G画在一个平面上&#xff0c;使得任何两条边仅在顶点处相交&#xff0c;则称G是具有平面…

Tableau6——地图绘制

文章目录 一&#xff0c;填充地图二&#xff0c;多维地图三&#xff0c;混合地图 一&#xff0c;填充地图 要求&#xff1a;各省市售电量地图 首先&#xff0c;转换地理角色&#xff0c;将省市右键单击——》地理角色——》州/省/市/自治区 第二&#xff0c;双击省份&#xff…

实例010 猴子吃桃

猴子吃桃问题&#xff1a;猴子第一天摘下若干个桃子&#xff0c;当即吃了一半&#xff0c;还不过瘾&#xff0c;有多吃了一个&#xff0c;第二天早上有将第一天剩下的桃子吃了一半&#xff0c;又多吃了一个&#xff0c;以后每天早上都吃前一天的一半零一个&#xff0c;到第十天…

翠香猕猴桃 和 薄皮核桃,快来下单

猴桃品种有很多&#xff0c;但不是所有的果子都叫翠香。椭圆形&#xff0c;果喙端较尖&#xff0c;黄褐色硬短茸毛&#xff1b;果肉翠绿色&#xff0c;质细多汁&#xff0c;香甜爽口&#xff0c;有芳香味&#xff0c;白色果心。这就是“翠香”&#xff0c;是集酸甜香于一身的猕…

monkey真是个好东西,强烈推荐

目录 Monkey简介测试原理命令常用命令 测试结果分析 事情的起因是一个不怎么维护的APP从小米市场下架了&#xff0c;原因是APP存在几个崩溃问题&#xff0c;对方把测试结果报告、录屏信息发了过来。我们看了一下&#xff0c;发现是一个很老的版本&#xff0c;至于为什么没有把新…

7-9 猴子吃桃

猴子第一天摘下若干个桃子&#xff0c;当即吃了2/3&#xff0c;还不过瘾&#xff0c;又多吃了一个&#xff0c;第二天早上又将剩下的桃子吃掉2/3&#xff0c;又多吃了一个。以后每天早上都吃了前一天剩下的2/3再多一个。到第n天早上想再吃时&#xff0c;发现只剩下k个桃子了。求…

红心猕猴桃文案:水果红心猕猴桃文案大全,水果红心猕猴桃文案短句

精选专业水果文案&#xff0c;持续更新整理&#xff0c;朋友圈发圈营销必备文案&#xff0c;让写文案不再费力。文案圈子已积累更新6000多条&#xff0c;汇总编辑300多类的水果&#xff0c;非常全面实用。 1、朋友圈文案哪里能看到 需要文案的话&#xff0c;可以在朋友圈下搜一…

Android支付宝接入及使用

登入支付宝开放平台&#xff0c;进入开发者中心控制台&#xff0c;选择网页&移动应用 AS快速集成支付 下载支付宝的Demo和SDK将SDK文件夹中的arr文件复制黏贴到工程目录的libs文件夹下在整个工程的build.gradle文件中添加如下代码 allprojects {repositories {// 添加下…

Android应用接入支付宝支付详细教程

第一步&#xff1a;访问支付宝开放平台&#xff0c;进入管理中心 支付宝开放平台 (alipay.com)https://open.alipay.com/ 第二步&#xff1a; 创建应用 客户端应用信息如何配置&#xff08;Android端&#xff09; - 支付宝文档中心 (alipay.com)https://opendocs.alipay.com/su…

手机APP使用支付宝支付(服务端)

最近本人刚做了手机APP支付宝支付功能&#xff0c;主要分为六步&#xff0c;在这里主要记录代码部分。 第一步&#xff1a;创建应用并获取APPID 要在您的应用中接入支付宝App支付能力&#xff0c;需要通过创建应用的方式接入蚂蚁相关接口并进行开发&#xff0c;基于对行业及业…

微信中使用支付宝进行支付

微信中使用支付宝不能直接使用&#xff0c;由于微信内置浏览器的原因&#xff0c;在微信中使用支付宝时无法跳转出去&#xff0c;支付宝官网给出了实例文档 支付宝官网地址 下载后 将其例子融入到vue中使用 步骤&#xff1a; 第一步&#xff1a;将ap.js放在vue项目中 第二步&a…

php 使用 yansongda/pay 进行微信,支付宝支付

最近项目使用yansongda/pay 进行微信与支付宝开发&#xff0c;整理一下自己开发中遇到的问题 yansongda/pay composer 扩展地址 https://packagist.org/packages/yansongda/pay // 使用composer update 更新下载yansongda包扩展 复制 文档中 支付宝支付&#xff0c;微信支…

pc接入支付宝支付功能

1. 后端调用支付宝api 2.前端拿到后端返回的url 3.前端在页面使用iframe嵌入请求支付宝 代码例&#xff1a; // 后端返回的链接, 放入iframe的src中。这里使用官方提供的链接 const alipayUrl "https://openapi.alipay.com/gateway.do?timestamp2013-01-01 08:08:0…

Android接入支付宝实现支付功能

Android接入支付宝实现支付功能 我本来是想直接讲Android支付这一块的&#xff0c;包括支付宝&#xff0c;微信&#xff0c;其他第三方整合支付等&#xff0c;但是微信开放平台他对我的账号做了限制&#xff0c;所有我今天就先把重心放在支付宝的支付上&#xff0c;也算是写得…

如何使用支付宝支付接口

支付宝支付 入门 """ 1&#xff09;支付宝API&#xff1a;六大接口 https://docs.open.alipay.com/270/105900/2&#xff09;支付宝工作流程(见下图)&#xff1a; https://docs.open.alipay.com/270/105898/3&#xff09;支付宝8次异步通知机制(支付宝对我们服…

Android应用接入支付宝实现支付功能

记得很早以前公司项目中添加过移动支付这一块&#xff0c; 包括微信&#xff0c;支付宝&#xff0c;银联等第三方的整合。 但是后来懒于总结就没留下什么&#xff0c; 最近公司项目打算添加&#xff0c;所以打算简单总结一下&#xff0c;记上一笔以备将来使用。 毕竟第三方的支…