Android
Seguridad

C# Language Cordova firebase HTML iOS Java Language JavaScript Kotlin PHP react-native
Buscar..


Verificación de la firma de la aplicación - Detección de sabotaje

Esta técnica detalla cómo asegurarse de que su .apk haya sido firmado con su certificado de desarrollador, y aprovecha el hecho de que el certificado permanece consistente y que solo usted tiene acceso a él. Podemos dividir esta técnica en 3 simples pasos:

  • Encuentra tu firma de certificado de desarrollador.
  • Inserta tu firma en una constante de cadena en tu aplicación.
  • Verifique que la firma en tiempo de ejecución coincida con nuestra firma incorporada de desarrollador.

Aquí está el fragmento de código: 

private static final int VALID = 0;
private static final int INVALID = 1;

public static int checkAppSignature(Context context) {

try {
      PackageInfo packageInfo = context.getPackageManager().getPackageInfo(context.getPackageName(), PackageManager.GET_SIGNATURES);

      for (Signature signature : packageInfo.signatures) {

        byte[] signatureBytes = signature.toByteArray();

        MessageDigest md = MessageDigest.getInstance("SHA");

        md.update(signature.toByteArray());

        final String currentSignature = Base64.encodeToString(md.digest(), Base64.DEFAULT);

        Log.d("REMOVE_ME", "Include this string as a value for SIGNATURE:" + currentSignature);

        //compare signatures
        if (SIGNATURE.equals(currentSignature)){
          return VALID;
        };
      }
    } catch (Exception e) {
        //assumes an issue in checking signature., but we let the caller decide on what to do.
    }

    return INVALID;

}


Modified text is an extract of the original Stack Overflow Documentation
Licenciado bajo CC BY-SA 3.0
No afiliado a Stack Overflow