【发布时间】:2012-03-30 19:40:17
【问题描述】:
我想在运行时以编程方式检查 APK 的签名。我在我的开发工作站上拥有一个密钥库,所以我可以知道(不知道如何)我用来签署 APK 的公钥。
一旦我知道签名后的公钥是什么,我想输入源代码并检查当前运行的应用程序是否与密钥匹配。
有可能吗?如果是这样,我如何从 Eclipse 生成的密钥库中获取公钥?
谢谢。
【问题讨论】:
-
抱歉,这必须离线工作,适用于应用的预览版。我对此有一个相关的问题
-
从安全的角度来看,自检没有什么意义,因为攻击者可以修改代码以接受任何内容。
-
没错,但加上混淆只会让攻击者的生活变得更加困难。在我的具体情况下,Android 许可是完全不可行的
-
我在这里不明白的是,“如果某个黑客能够按照他想要的方式编辑您的 apk”,他不能只删除您正在执行此签名检查的存根(方法)吗?该应用程序甚至不检查任何内容。有意义吗?
标签: android apk digital-signature