主页 / 第三届 MOSEC 移动安全技术峰会 / Android 应用签名的枷锁与革新
-
作者韦韬 张煜龙@ 百度安全实验室
-
简介
概要
- • Android 应用签名简介
- • 签名对 Android 生态的意义
- • 应用签名的局限和生态乱象
- • 既有解决方案
- • OASP: 救赎与革新
Android生态强烈地依赖应用签名:应用商店需要通过签名来验证版本更替、应用安装时需要校验签名防止篡改、安全厂商也常常需要通过签名来关联应用开发者。总之,Android应用签名私钥具有“不可遗失”、无法更换的特点。然而,近年来Android应用签名私钥泄漏或滥用的现象层出不穷,多家互联网公司都不能幸免,因此Android生态对签名证书的固守反而成了很大的安全威胁。此外,很多公司在多年以前采用了签名算法比较弱的证书,随着破解算法和计算资源的进步,升级证书也迫在眉睫。针对这一问题,本报告将横向比较Android/iOS/Mac/Windows等平台的签名、验签机制,并提出一种简单有效、且能兼容现有Android系统和应用商店的解决方案。这一方案将为Android生态一起联手打击黑产提供重要的基石。
-
援引https://github.com/aozhimin/MOSEC-2017/tree/def4e06f3d1e80115c8066281a1b6261368cc105
-
提示本站仅做资料的整理和索引,转载引用请注明出处
相关推荐
-
2017-02-13 14:54:21
-
2020-08-29 12:37:05.351629
-
2016-02-21 12:53:37
-
2023-10-16 14:30:50.911051