计算机工程 ›› 2019, Vol. 45 ›› Issue (8): 25-30.doi: 10.19678/j.issn.1000-3428.0055156

所属专题: 网络空间安全专题

• 网络空间安全专题 • 上一篇    下一篇

Android系统签名的漏洞分析与检测

廖方圆1, 甘植旺2   

  1. 1. 中国电子科技集团有限公司, 北京 100846;
    2. 中国电子科技集团公司信息科学研究院, 北京 100086
  • 收稿日期:2019-01-21 修回日期:2019-03-25 出版日期:2019-08-15 发布日期:2019-08-08
  • 作者简介:廖方圆(1981-),男,高级工程师,主研方向为网络空间安全;甘植旺,博士。
  • 基金项目:
    中国电科网络安全和信息化行动计划项目。

Vulnerability Analysis and Detection of Android System Signature

LIAO Fangyuan1, GAN Zhiwang2   

  1. 1. China Electronics Technology Group Corporation, Beijing 100846, China;
    2. Information Science Academy of China Electronics Technology Group Corporation, Beijing 100086, China
  • Received:2019-01-21 Revised:2019-03-25 Online:2019-08-15 Published:2019-08-08

摘要: 攻击者会利用Android系统应用程序自签名过程中的漏洞进行重签名,从而发布盗版软件。针对该问题,分析Android系统应用程序数字签名及验证过程,提出一种基于MD5值的在线签名比较方案,并通过代码混淆技术增加攻击者反编译的难度,以保障该签名方案的安全性。实验结果表明,该方案可以帮助用户判断应用程序是否为正版,并有效防止本地签名被篡改。

关键词: Android系统, 数字签名, 漏洞分析, 漏洞检测, 代码混淆

Abstract: Aiming at the problem that an attacker can issue pirated software by re-signing the vulnerabilities in the self-signature process of Android system application program,this paper analyses the digital signature and verification process of Android system application program,proposes an online signature comparison scheme based on MD5 value,and increases the difficulty of attacker's decompilation through code obfuscation technology to ensure the security of the signature scheme.Experimental results show that the scheme can help users to judge whether the application is authentic or not,and can effectively prevent the local signature from being tampered with.

Key words: Android system, digital signature, vulnerability analysis, vulnerability detection, code obfuscation

中图分类号: