[Android M Feature Spotlight] stricte APK Validation Maintenant vérifie effectivement Si tous les fichiers d'un APK sont présents

Série: Android M Spots de fonction

Cet article fait partie de notre Android M Spots de fonction série.

Montre tout
[Android M Feature Spotlight] Vous pouvez activer et désactiver l'économiseur de batterie By Voice
  • 2447.
    [Android M Feature Spotlight] Soutien MIDI formelles et plusieurs autres améliorations pour l'entrée et la sortie audio sont sur le chemin
  • 2148.
    [Android M Feature Spotlight] stricte APK Validation Maintenant vérifie effectivement Si tous les fichiers d'un APK sont présents
  • 3749.
    [Android M Feature Spotlight] Android maintenant en charge la sortie vidéo 4K natif avec la nouvelle API
  • 14050.
    [Mise à jour: Une autre nouvelle fonctionnalité] L'App Stock Calculator a été remanié, ne utilise plus Calcul flottant
  • ...
  • Voir tous les 77 articles de cette série
  • Alors que vous pourriez déposer celui-ci sous la rubrique «vraiment? Nous ne faisions pas ce déjà?" si vous êtes un expert en sécurité, Google a ajouté la validation stricte des APKs dans Android "M" qui devrait empêcher ce que je suppose que vous pourriez appeler bricoler par omission.



    Auparavant, les contrôles de validation APK regardé la signature SHA-1 pour chaque fichier dans ledit APK contre celles stockées dans le fichier manifest.mf de l'application, qui est généré automatiquement pendant le processus de signature. Si l'un des fichiers ont été modifiés, l'APK échouerait la validation, puis ne pas installer ou lancement. Ceci est une mesure de sécurité évidente, conçu pour empêcher les gens de le chargement de logiciels malveillants ou faire des choses infâmes avec APKs légitimes autrement.



    Qu'est-ce que le système n'a pas l'air pour les WAS manquant des dossiers. Alors qu'auparavant Android validé chaque fichier dans le APK pour assurer qu'il était dans le manifeste et avait une signature correspondante, il n'a pas l'air pour les fichiers déclarés dans le manifeste, mais qui étaient ne pas dans l'APK. Cela pourrait permettre à quelqu'un de distribuer un APK qui a été fichiers qu'il avait initialement, des fichiers qui pourraient être liés à la sécurité, DRM, ou d'autres caractéristiques potentiellement sensibles manquant sans avoir à démissionner il. Bien qu'il soit pas clair si Google a découvert une façon évidente d'exploiter ce, du fait qu'il n'a pas fait un chèque à deux extrémités sur le manifeste ne semble un peu stupide avec le recul.

    Avec Android M, le système fait maintenant un tel contrôle, et si les fichiers répertoriés dans le manifeste ne sont pas présents dans le réel APK, la validation échouera. L'APK doit être démissionné avec un manifeste mis à jour si elle veut réussir la validation, qui sera ensuite évidemment changer la signature, signalant que l'APK a été trafiqué.

    • La source:
    • Développeurs Android



    » » » [Android M Feature Spotlight] stricte APK Validation Maintenant vérifie effectivement Si tous les fichiers d'un APK sont présents