#Android#如何检查手机上的 App 是不是正版?
【#Android#如何检查手机上的 App 是不是正版?】
本文插图
作者 | Aditi Bhatnagar
译者 | 苏本如 , 责编 | 郭芮
头图 | CSDN 下载自视觉中国
出品 | CSDN(ID:CSDNnews)
以下为译文:
仔细看看你的安卓手机上的应用程序 , 你如何确保它们都是正版的?也就是说 , 你如何确保你手机上的Instagram应用是正版程序 , 而不是复制的或假冒的 。
当你在网上冲浪的时候 , 你可以尝试找出一个网站是否是真实的 。 对于网站而言 , 我们有证书、有安全锁标志、有完整的URL等等 , 这些可以帮助我们知道网站是真实的和安全的 。 那么 , 对于所有的安卓应用程序而言 , 我们是否也有一个等效的、可以帮助我们识别的东西呢?
作为一个安卓手机的用户 , 当我转到“设置/应用程序信息”时 , 我只能看到下面这些:
本文插图
你应该注意到 , 没有一个直接的方法可以检查应用程序的真实性 。 对于从谷歌应用商店(Google play store)中安装的应用程序 , 我们确实可以看到一个链接指向该应用程序在谷歌应用商店的地址 , 但是除此以外 , 我们找不到任何其他信息或者一些有效性的证明 。
那么 , 如何可靠地检查应用程序的真实性呢?同时 , 安卓应用程序如何检查同一设备上的、和它们协同工作或交换信息的其他应用程序的真实性呢?
答案是:签名证书信息 。
出于安全方面的考虑 , 安卓系统上的所有应用程序在部署到应用商店之前都需要正式地签名 。
所以 , 在了解了为什么我们需要应用程序的签名之后 。 我们将在本文深入探讨下列问题:什么是应用程序签名?如何才能实现它?以及它如何保证应用程序的真实性?
本文插图
什么是应用程序签名?
应用程序签名是在操作系统的最内部实现的 。
根据安卓官方提供的文档:
“应用程序签名允许开发人员识别应用程序的作者 , 并且允许他们在无需创建复杂的接口和获得许可的情况下 , 更新其应用程序 。 这样 , 开发人员就知道他们的应用程序是未经修改地提供给安卓设备使用的;并且开发人员可以对其应用程序的行为负责 。 ”
在安卓系统上 , 应用程序签名是将应用程序放入其应用程序沙盒的第一步 。 签名的应用程序证书定义了哪个用户ID与哪个应用程序相关联;不同的应用程序在不同的用户ID下运行 。 应用程序签名确保一个应用程序不能访问任何其他应用程序 , 除非通过定义良好的IPC
本文插图
如何实现应用程序签名?
安卓提供了使用自签名证书的代码签名方法 , 开发人员可以在没有外部帮助或许可的情况下生成这些证书 。 证书的申请不需要一个中央机构来签署批准 。
安卓系统支持三种应用程序签名方案:
v1方案:基于 JAR 签名
这个方案是基于签名的JAR包 。 这里要注意的是:v1签名方案并不会保护APK内的所有文件 , 会存在一些例外部分 , 这些部分即便被修改也不会导致签名失效 , 比如ZIP元数据 。 APK验证器需要处理大量不受信任(尚未验证)的数据结构 , 然后丢弃签名未涵盖的数据 。 这提供了一个相当大的攻击面 。 此外 , APK验证器必须解压缩所有的压缩条目 , 从而消耗更多的时间和内存 。 为了解决这些问题 , 安卓7.0引入了APK签名方案v2 。
v2方案:亦即APK签名方案v2 , 在Android 7.0中引入 。v3方案:亦即APK签名方案v3 , 在Android 9中引入 。
推荐阅读
- 电脑数码精通|夏季如何让电脑的故障率降到最低?早知道早做准备吧
- |支付宝面试题:如果你是支付宝的产品经理,如何让更多人用支付宝点外卖?
- |传统互联网产品经理正在消失,如何自救?
- 华南科技第一线|京东618,大学生换5G新机如何选?
- 毒草科技|如何挑选入门级智能录音笔?搜狗C1对比讯飞A1,谁更值得买?
- cnBetaTB|看机器人如何制作出既有颜值又美味的蛋饼
- 京东京东沃尔玛再加持,达达募资3亿美元如何应战即时配送?
- 电视提前锁定618电视圈“爆款”海信激光电视是如何做到的?
- 淘宝|如何在淘宝网上开网店?在淘宝网上开店有什么要求?
- 摩盒网|电商平台的网页如何更佳吸引人