新浦京娱乐场官网

今朝, 关于挪动终端/智能手机中的歹意使用的报导频现, 手机用户心旷神怡, 央视也就此话题屡次停止了相干专题报道. 本文针对安卓手机使用, 提出一种操纵数字证书的副署机制, 经由过程对APK全部公布周期的各个环节停止带工夫戳的副署署名的方法, 到达所有环节可考证, 可追溯的结果.

根本流程图以下:
APK署名流程

结果:

  • 不改动APK的文件构造;
  • 原有APK的安装模式和安全机制没有任何改动(无前提条件, 完整通明);
  • 任何一个环节, 只要停止了副署, 就能够成为一个可追溯的环节;
  • 追溯的内容包罗: 署名工夫, 署名者身份, 署名有效性;
  • 从后端到前端的完好解决方案;

在手机端, 我们开辟了一个用于APP追溯的使用, TrustTracker, 该APP的次要目标是为了演示本计划的可行性和有效性.

以下将以界面截图+正文的方法赐与阐明:

TrustTracker的欢迎界面:
9927.com

主界面:
x.m2
x.m3

TrustTracker本人是一个APP, 我们对它停止了3次副署:

  1. 开发者本人的副署
  2. 模仿检测机构的副署
  3. 模仿使用市肆的副署

x.tt1
x.tt2

有了TrustTracker这个东西, 我们就来看看一些支流的使用在APK的署名方面是怎么做的. 以下的截图都是基于我今朝的手机中的APP使用.

这是12306的:
x.12306

再看看银行的:
x.gf
www.668866.com

腾讯:
x.qq
x.wx

百度:
新浦京娱乐场官网

淘宝:
澳门新萄京娱乐场账号

挑个外洋的使用看看:
x.quora

安卓体系因为它的开放性, 管理相对苹果公司而言较弱, 基本上是各人本人各自进行, 从TrustTracker供给的信息来看, 中外没啥区分, 即便是一些知名企业/机构公布的使用, 其中的署名证书都不大正规, 以至部门还有着浓重的个人颜色. 其中的风险不可思议, 以安卓使用今朝的署名机制而言, 以至能够把他人的APP拿来, 本人修正后从头打包署名, 因为大量利用自署名证书的机制, 不只用户安装时底子无法辨别, 专业机构拿到一个APP, 不跟源厂商有相同和谐, 也无法辨别署名的真假.

本计划所提出的解决方案依托第3方可信的数字证书颁布机构, 由这些数字证书颁布机构向开发者, 检测机构, 使用市肆颁布可信的数字证书, 在APK的公布流程的每一个环节, 经由过程利用可信数字证书加以副署机制, 能够到达全部APK公布环节可追溯, 可考证, 从而到达防备歹意APP, 净化网络情况的结果.

澳门新萄京娱乐场账号