有关新Google政策的问题(安全元数据)

时间:2018-03-12 01:27:43

标签: android security policy

我已阅读标题为' Improving app security and performance on Google Play for years to come'。

的帖子

在那篇文章中,我想问下面的句子。 "此外,在2018年初,Play将开始在每个APK之上添加少量安全元数据,以进一步验证应用的真实性。"

这是否意味着以上描述是' APK签名方案v2'。 如果是这样,当我签名为选择' V2(完整的APK签名)'它是否创建了最终的APK?

换句话说,如果我以上述方式创建某个APP并上传它,最终用户是否会下载并安装它而不做任何更改?

否则,我对"添加少量金额" APK签名栏""。

  1. 是否会影响之前没有包含新安全元数据的APP?

  2. 当应用APK上传到Play商店时,Google会将此元数据放入?我的问题是在什么时候将安全元数据插入到APK?

    3. '生成签名APK'捕获图像:

2 个答案:

答案 0 :(得分:4)

根据this blog post from June 2018,真实性数据已添加到应用程序中:

  

我们现在在APK之上添加少量安全元数据,以验证APK是由Google Play分发的。

真实性数据与签名v2块放置在ZIP / APK文件中的同一点-在压缩内容之后和ZIP中央目录之前。这并不一定意味着真实性数据需要v2签名-两者都只是注入的数据块。 APK Signature v2 placement

但是,我还没有剖析下载的APK文件,看它是否真的包含此真实性数据。似乎还没有发布验证此数据的必要工具(或者我错过了吗?)。

Google可以在Play商店端添加此元数据-应用的上传,下载时间是否介于两者之间。因此,即使是旧的应用程序也可以配备此功能-Google是否会提供此功能?我们会看到。

向仅具有v1信号的APK添加更多数据很简单,因为v1签名仅覆盖压缩文件的内容,而不是ZIP结构本身。对于v2,情况类似:它涵盖了压缩的内容,包括ZIP条目标头,中央目录和目录末尾(有关详细信息,请参见here)。签名不包含ZIP标头或最后一个内容条目与中央目录开始之间的数据。因此,Google可以在APK签名块之前或之后添加更多数据,而不会使签名无效。

答案 1 :(得分:3)

您的问题实际上是在评论中找到的

  

如果Google可以在文件中添加人员而不会影响签名,那么其他人会停止向文件中注入相同的元数据,并使Google Play相信这是来自游戏机的apk吗?

无论是否从Google Play商店下载了APK,他们都会添加一些加密的签名,并会在安装应用之前通过Google Play服务验证签名。

他们在文章中还提到了

  

您无需对此更改采取任何措施。

Answering about source of information and delivering apps outside of Google Play

参考服务条款https://play.google.com/intl/en-us_us/about/play-terms.html

  

恶意软件防护。为了保护您免受恶意第三方软件,URL和其他安全问题的侵害,Google可能会通过Google Play或其他来源接收有关您设备的网络连接,可能有害的URL,操作系统以及在您的设备上安装的应用的信息。如果Google认为某个应用或网址不安全,则可能会发出警告,或者如果已知对设备,数据或用户有害,则Google可能会删除或阻止其在设备上的安装。您可以选择在设备的设置中禁用其中一些保护,但是,Google可能会继续接收有关通过Google Play安装的应用的信息,并且可能会继续分析来自其他来源的设备上安装的应用的安全问题,而不会发送向Google提供的信息。

现在,Android 7.0会显示是从Play商店还是其他来源安装了APK

enter image description here

信用:https://www.androidpolice.com/2016/07/18/android-7-0-now-shows-if-an-apk-was-installed-from-the-play-store-or-another-source/

相关问题
最新问题