Andoird11版本对后装apk添加包名和签名校验

已于 2024-08-16 14:14:10 修改
阅读量1.3k 收藏 6
点赞数
CC 4.0 BY-SA版权
分类专栏: Framework 文章标签: android 签名校验 后装apk 包名过滤 防止三方恶意
于 2022-08-24 17:47:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/DKBDKBDKB/article/details/126509507
针对Android11系统中静默安装APK的安全问题,通过包名匹配与系统签名验证来确保安装应用的安全性,避免第三方应用恶意篡改。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

软件平台:Android 11

硬件平台:展锐

        具体需求:android系统起来后,会有apk后台静默安装一些apk,为了防止三方apk恶意篡改安装,添加了如下处理逻辑,包括包名匹配校验和系统签名校验:

--- a/frameworks/base/services/core/java/com/android/server/pm/PackageManagerService.java
+++ b/frameworks/base/services/core/java/com/android/server/pm/PackageManagerService.java
@@ -17501,6 +17501,16 @@ public class PackageManagerService extends PackageManagerServiceExAbs
                     "Instant app package must be signed with APK Signature Scheme v2 or greater");
         }
 
+        //block 3rd app with no platform signature
+        boolean platformPackage = mPlatformPackage != null
+                    && compareSignatures(mPlatformPackage.getSigningDetails().signatures,
+                parsedPackage.getSigningDetails().signatures) == PackageManager.SIGNATURE_MATCH;
+        if (android.os.Build.IS_USER && (pkgName == null
+                || !pkgName.startsWith("com.tal.xpp")
+                || !platformPackage)) {
+            throw new PrepareFailure(-1000, "install package not allowed!");
+        }
+
         boolean systemApp = false;
         boolean replace = false;
         synchronized (mLock) {

专门防止三方软件,盗取包名后台安装替换。

Android之用新的签名文件对apk进行V3打(apksigner命令方式)来解决签名不一致的升级问题
码莎拉蒂
04-14 2万+
v1 签名实际上就是 JAR 签名的方案,它不会保护 APK 内的所有问题,存在安全效率问题v2 签名是一种全文件签名方案,增加了 APK 签名块(APK Signing Block),但仍无法解决更换签名的问题v3 签名是 v2 的升级版,也被称为 v2+。在 V2 插入的签名块(Apk Signature Block V2)中,又添加了一个新快(Attr 块),它使用链表存储了所有的签名信息,验证时就像 CA 证书的证明过程。
android验证,Android – 已安的应用 – 完整性检查
weixin_42347925的博客
05-27 991
>如果有人篡改已安Android应用程序(apk文件),是否在启动时完成了任何检查以确保应用程序的完整性不受损害?据我所知,在发布时没有检查,我正在尝试执行以下操作:>我正在尝试计算已安应用程序(apk文件)的SHA-1摘要.我知道apk文件就像一个zip文件.它由其他文件组成.但是,我将其视为任何其他文件(只是一个字节流)并尝试计算所有apk文件的SHA-1摘要.这种方法有什么...
Android 校验apk文件渠道号、版本
11-06
功能:可查看单个或目录下所有apk文件的渠道号、版本号 使用:以查看版本号为例 1、copy文件version.sh到apk文件所在目录 2、查看所有apk版本号 执行命令./version.sh查看所有apk文件版本号及versionCode 3、查看单个apk文件apk版本号 执行命令./version.sh apk_a01.apk查看所有apk apk_a01版本号及versionCode NOTE: 如提示找不到aapt,请把aapt添加到环境变量中,aapt目录android-sdk-linux/build-tools下 或修改脚本如下红色字体为电脑aapt路径 #echo package and versionName echo `aapt d xmltree "$f" AndroidManifest.xml |grep -E -n -i "android:value" ` done 修改后为: #echo package and versionName echo `/android-sdk-linux/build-tools/23.0.1/aapt d xmltree "$f" AndroidManifest.xml |grep -E -n -i "android:value" ` done
android应用签名
ainibaifenbai的专栏
08-27 722
Android 系统中,所有安 到 系统的应用程序都必有一个数字证书,此数字证书用于标识应用程序的作者在应用程序之间建立信任关系,如果一个 permission的protectionLevel为signature,那么就只有那些跟该permission所在的程序拥有同一个数
Android5.1.1 - APK签名校验分析修改源码绕过签名校验
weixin_34360651的博客
07-25 320
为什么80%的码农都做不了架构师?>>> ...
Android10安APP,Android10.0应用安单——添加签名校验
weixin_30277297的博客
05-28 1197
背景为了避免系统被安上各种各样的app,客户要求系统需要有个安单的功能。思路白单功能主要是通过确认要安的应用是否在白单上,如果不在,则不允许安。筛选的标准可以通过进行判断。但单纯进行判断还是不够安全,这里是想再加个签名校验的机制,毕竟每个签名都是独一无二的。这个过程,主要难点在于如何获取各个apk签名。在说明如何在代码中获取到系统签名之前,先大概说下Android应用的签名...
android后台安apk
移动开发记录
11-26 204
android应用后台安,静默安的代码实现方法 http://hi.baidu.com/6936995/blog/item/eca4436387a80d7b0d33fa31.html 首先,你要有linux环境或其他可以mmm交叉编译的环境,因为这个用到的是隐藏api,SDK中没有的,ecilipse里面会提示不存在,但交叉编译可以,如果你不知道mmm编译,请return。 代...
APK签名校验工具
04-12
APK签名校验工具是一种用于验证Android应用程序(APK签名完整性安全性的软件工具。在Android系统中,每个发布到Google Play或其他第三方应用商店的APK文件都需要经过签名过程,确保开发者身份的可追溯性,同时...
Android Apk去掉签名以及重新签名的方法
01-05
Android开发中很重要的一部就是用自己的密钥给Apk文件签名,不经过签名Apk文件一般是无法安的,就算了最后也是失败。 网上流传的“勾选允许安未知来源的应用”其实跟签不签名没啥关系,说白了就是允许安不...
Android获取apk签名指纹的md5值(防止重新被打)的实现方法
01-04
获取md5值来进行Apk签名校验, 可以防止apk重新被打。 下面我说说怎么获取apk签名的md5值(有三种方法) 1.用代码获取签名指纹的md5值 /** * MD5加密 * @param byteStr 需要加密的内容 * @return 返回 byteStr的...
Android11apk适配
vulgar_rabbit的博客
01-19 5383
android11apk行为问题
android 系统签名
05-19
android系统签名相关文件
android怎么加签名验证,android 常用api 接口签名验证
weixin_32252533的博客
05-29 979
从登录注册说起该验证的全部过程:1.android 登录时一般是这样: loginData.put("name", userNameText.toString());loginData.put("password", passWordText.toString());loginData.put("platform", "android");//同步方式try {//调用登录接口网络请求JSONOb...
【源码阅读 | 02】validate-npm-package-name 校验是否规范
weixin_42678675的博客
12-08 1053
1. 场景   在使用如脚手架 创建项目 的时候,为了 规范,会对进行校验,此时就用到了题目中的 validate-npm-package-name 。 2. 使用 打开 cmd,创建 vue 项目试一下(以 @vue/cli 4.5.9 为例) 1)使用 保留字 作为项目 2)使用 _ 下划线作为开头 3)使用 大写字母 作为项目 细心的人可能会发现,报错信息中,有的是 Error,有的是 Warning,区别在于: Warning :用于表示过去 package name 允许,
android 11apk 报错installed APKs to be stored uncompressed and aligned on a 4-byte boundary
热门推荐
jeephao的博客
06-07 1万+
合作开发的三方apk, 用我们的platform keystore签名后,无法在android 11的设备上安成功,一直提示安错误 Failure [-124: Failed parse during installPackageLI: Targeting R+ (version 30 and above) requires the resources.arsc of installed APKs to be stored uncompressed and aligned on a 4-byte bou
逆向学习笔记: APK签名So校验 (一)
深秋黄金甲的博客
07-24 3173
如何破解so中的签名校验
APK逆向实战---签名校验
提桶跑路20年的博客
02-04 1280
一.注意签名校验的使用函数 getPackageManager() 得到管理结构体 getPackageName() 得到 getPackageInfo()->signatures 得到apk签名 signatures ->hashCode() 得到签名的哈希值 二.逆向一个有签名校验的app-----霸哥磁力搜索(使用AndroidKiller重新签名后应用会闪退) 下载链接:https://cloud.189.cn/t/buYjEnaQbuye (访问码:e0ts) 步骤 ①
android 11apk自动获取权限
最新发布
通信侠的博客
11-16 2207
为获取除android.permission.MANAGE_EXTERNAL_STORAGE外的所有权限。为了解决android.permission.MANAGE_EXTERNAL_STORAGE,需要额外添加enableManageExternalStorage(packageName, resAppId);由于android 11以上版本对于读写权限的进一步限制,安apk获取权限的流程又加了一步,对于客户来说多半步也算复杂,根据之前的经验,在安流程后打开全部权限即可。
AndroidAndroid验证签名apk
青禾tester
05-06 1万+
1、去掉apk签名 //tips:未签名不能安到手机上 (1)apk改成zip格式,并解压zip (2)解压后进入文件夹META-INF,删除签名文件:.RSA/.SF (3)重新压回zip(如含之前的apk文件,需要删除改apk),改成apk格式 (4)命令行输入: jarsigner -certs -verbose -verify 新apk路径 返回: jar 未签名。 ...
利用JNI技术获取Android APK签名信息
Android中获取APK签名信息,通常是为了校验应用的来源或检查应用的权限等目的。通过Java层获取这些信息相对容易,例如可以使用以下代码片段来获取: ```java // 获取 String packageName = this....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值