作者 | Aditi Bhatnagar
译者 | 苏本如,责编 | 郭芮
头 | DN 自视觉
出品 | DN(ID:DNnews)
以下为译文:
仔细看看你的安卓手机上的应用程序,你如何确保它们都是正版的?也就是说,你如何确保你手机上的应用是正版程序,而不是的或假冒的。
当你在上冲浪的时候,你可以尝试找出一个站是否是真实的。对于站而言,我们有证书、有锁标志、有完整的L等等,这些可以帮助我们知道站是真实的和的。那么,对于所有的安卓应用程序而言,我们是否也有一个等效的、可以帮助我们识别的东西呢?
作为一个安卓手机的用户,当我转到“设置/应用程序信息”时,我只能看到下面这些:
你应该注意到,没有一个直接的方法可以应用程序的真实。对于从应用商店( play store)中安装的应用程序,我们确实可以看到一个链接指向该应用程序在应用商店的地址,但是除此以外,我们找不到信息或者一些有效的证明。
那么,如何可靠地应用程序的真实呢?同时,安卓应用程序如何同一设备上的、和它们协同工作或交换信息的应用程序的真实呢?
答案是:签名证书信息。
出于方面的考虑,安卓上的所有应用程序在部署到应用商店之前都需要正式地签名。
所以,在了解了为什么我们需要应用程序的签名之后。我们将在本文深入探讨下列问题:什么是应用程序签名?如何才能实现它?以及它如何保证应用程序的真实?
什么是应用程序签名?
应用程序签名是在操作的内部实现的。
根据安卓提供的文档:
“应用程序签名允许人员识别应用程序的作者,并且允许他们在无需创建复杂的接口和获得许可的情况下,更新其应用程序。这样,人员就知道他们的应用程序是未经修改地提供给安卓设备使用的;并且人员可以对其应用程序的行为负责。”
在安卓上,应用程序签名是将应用程序放入其应用程序沙盒的第一步。签名的应用程序证书定义了哪个用户ID与哪个应用程序相关联;不同的应用程序在不同的用户ID下运行。应用程序签名确保一个应用程序不能访问应用程序,除非通过定义良好的IPC
如何实现应用程序签名?
安卓提供了使用自签名证书的代码签名方法,人员可以在没有外部帮助或许可的情况下生成这些证书。证书的申请不需要一个机构来批准。
安卓支持三种应用程序签名方案:
v1方案:基于 JAR 签名
这个方案是基于签名的JAR包。这里要注意的是:v1签名方案并不会保护APK内的所有文件,会存在一些例外部分,这些部分即便被修改也不会导致签名失效,比如ZIP元数据。APK验证器需要处理大量不受信任(尚未验证)的数据结构,然后丢弃签名未涵盖的数据。这提供了一个相当大的攻击面。此外,APK验证器必须解压缩所有的压缩条目,从而消耗更多的时间和内存。为了解决这些问题,安卓7.0引入了APK签名方案v2。
v2方案:亦即APK签名方案v2,在Andid 7.0中引入。v3方案:亦即APK签名方案v3,在Andid 9中引入。
运行安卓7.0及更高版本的设备支持APK签名方案v2(亦即v2方案)和它的更高版本。(在Andid P中,v2方案被更新为v3方案,以支持在签名块中包含附加信息,但在情况下也一样。)。v2方案对APK的内容进行散列和签名,然后将生成的APK签名块入APK中。
应用程序可以非常简单地通过Andid Studio的选项或命令行进行签名。
打开Andid Studio,进入Build > Generate Sied APK。
你可以按照下文中的步骤进行操作,来生成一个签名密钥:#si-apk。
当你可以选择应用商店对你的应用的每一个版本进行签名时,你有很多选择。详情请参照上面的链接。
生成密钥并查看其内容的简单命令分别如下:
生成秘钥:
keytool -genkey -v -keystore <keystorealias> -storepass <keyStorePassword> -alias <keyAlias> -keypass <keyPassword> -keyalg RSA -keysize 2048 -validity
查看秘钥:
keytool -list -v -keystore <keystorealias> -alias <keyAlias> -storepass <keyStorePassword> -keypass <keyPassword>
备注:你需要用实际值替换上面尖括里的变量。根据你的应用程序的实际需要,设置生成密钥、密钥大小和有效期(以天为单位)的算法需要提供的值。
此外,还可以使用APKSier和ZipAli工具来,这些工具很方便(本文将不讨论它们,但是它们非常值得探讨)。
如何通过代码应用程序签名信息?
下面的代码可以用来应用程序签名信息:
public boolean validateAppSiate(Context context) thws NameNotFoundException {PackageInfo packageInfo = (getPackageName, );//note sample just checks the first siatefor (Siate siate : ) { // SHA1 the siateStng sha1 = getSHA1;// check is tches hardcoded valueretn (sha1);}retn false;}
当一个应用程序(APK文件)被安装到安卓设备上时,包器将验证APK文件是否已经使用该APK中包含的证书正确地签名。如果证书(或者更准确地说,证书中的公钥)与用于在设备上APK的密钥匹配,则新APK可以在清单中指定它将与类似签名的APKUID。
如果设备上的私有签名密钥丢失,会出现什么情况?
这将导致旧的应用程序无法更新!这种情况下,它将生成一个新的包名&一个新的证书。比如说:
Authenticator应用程序是一个身份验证程序,这个应用程序的一个私有应用程序签名密钥丢失或受损,因为在几年前的一次更新中,它的软件包名称从被更改为。由于此更改,所有后续的Authenticator应用程序更新只能以新的程序包名称发布,并且使用由新的专用签名密钥生成的新签名。
不过,近也增加了对“lling key”的支持,这可能会在有这种麻烦的情况下为者节轻一点压力。
以上所有这些内容供你参考,希望你能从中获得一些帮助。签名是一个至关重要的场景,需要深入了解才能理解安卓的整体状况。
原文:
☞NB-IoT 连接数过亿,者如何抓住新机遇?
☞华为云跻身Gartner三强,预示云计算场的未来变?
☞数据库激荡40年,深入解析PostgreSQL、NewSQL演进历程
☞用上机器学你慌不慌?这7种窃取数据的新手段快来认识一下!
☞超详细!一文告诉你SparkStreaming如何整合Kafka!附代码可实践
☞Libra的Move语言初探,10行代码实现你第一个合约
文章来自网络。:福答网 » 手机安卓版本在哪里看(我的手机是不是安卓)