[Android M Característica Spotlight] estricta APK Validación Ahora realidad Verifica si todos los archivos de un APK están presentes
Mientras que usted puede presentar ésta en "¿en serio? No estábamos haciendo esto ¿ya?" si usted es un experto en seguridad, Google ha añadido la validación más estricta de archivos APK de Android "M" que debe evitar lo que supongo que se podría llamar pequeños ajustes por omisión.
Anteriormente, comprobaciones de validación APK miraron la firma SHA-1 para cada archivo en dicha APK contra los almacenados en el archivo MANIFEST.MF de la aplicación, que se genera de forma automática durante el proceso de firma. Si alguno de los archivos fueron modificados, el APK fallaría validación, y luego no instalar o lanzamiento. Se trata de una medida de seguridad obvias, diseñado para evitar que la gente cargando virus o hacer cosas nefastas con APKs legítimos.
Lo que el sistema no se veía WAS desaparecidos archivos. Si bien anteriormente Android valida cada archivo en el APK para asegurarse de que estaba en el manifiesto y tenía una firma a juego, que no se veía para archivos declarados en el manifiesto, pero que eran no en el APK. Esto podría permitir a alguien para distribuir un APK que faltaba archivos que tenía originalmente, archivos que podrían estar relacionados con la seguridad, DRM, u otras características potencialmente sensibles sin tener que renunciar a ella. Si bien no está claro si Google descubrió una forma obvia de explotar esto, el hecho de que no hizo un cheque de dos extremos en el manifiesto parece un poco tonto en retrospectiva.
Con Android M, el sistema hace ahora un cheque tal, y si los archivos listados en el manifiesto no están presentes en el APK real, la validación fallará. El APK debe resignarse con un manifiesto de actualización si se va a pasar la validación, que luego, obviamente, cambiar la firma, lo que indica que el APK ha sido manipulado.
- Fuente:
- Desarrolladores de Android