[原创]Android证书验证存漏洞开发者身份信息可被篡改-Android安全-看雪-安全社区|安全招聘|kanxue.com

最新回复 (16)
xJJuno 雪币： 14278 活跃值： (5301) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 397 粉丝 1 关注私信	xJJuno 2 楼 mark一下...... 2014-12-2 18:26 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 3 楼内容一般，实际上就是普及了一下Android签名验证的流程。现在Android的签名确实有些问题。因为签名这个东西使用的太广泛了，所以很多人会自己为其赋予很多"任务"，希望能共通过签名来验证应用是否为官方的，有没有被修改。但是Google对签名的态度就像文章中所说的"只是用来认证开发者拥有该证书的私钥"而已。是我们这些做安全的想多了。这里确实存在一些问题，之前我们也曾设想过，能不能站出来，把现在市面上的各个APP的公钥收集起来，做一个仲裁机构，用来做APP的验证，说不定哪天就成权威了。不过这东西，首先收益无法保证，其次Google的态度不确定，说不定Android哪个版本要变动。而且单纯地手机，谈不上安全。所以这个问题，说到底还是要Google来解决，如果对于开发者，由Google来颁发对应的证书，使用该证书对APP进行签名，然后Google提供证书查询接口，那么看起来就比较完美了。一些个人见解。 2014-12-2 18:40 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 4 楼就算做了安全措施，还是无法抵御大整数攻击~ 2014-12-2 19:28 0
boyliang 雪币： 233 活跃值： (148) 能力值： ( LV9，RANK：210 ) 在线值：发帖 10 回帖 75 粉丝 9 关注私信	boyliang 5 5 楼技术分析到位，赞 2014-12-3 09:53 0
coolyi 雪币： 21 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	coolyi 6 楼漫漫的全是干货，新人学习了 2014-12-3 09:57 0
JoyFei 雪币： 35 活跃值： (139) 能力值： ( LV7，RANK：100 ) 在线值：发帖 8 回帖 130 粉丝 1 关注私信	JoyFei 2 7 楼赞，mark！！ 2014-12-3 10:06 0
chence 雪币： 1327 活跃值： (385) 能力值： ( LV11，RANK：190 ) 在线值：发帖 13 回帖 73 粉丝 2 关注私信	chence 4 8 楼顶一个，分析总结不错，适合投稿呵... 2014-12-4 18:35 0
linso 雪币： 349 活跃值： (125) 能力值： ( LV7，RANK：100 ) 在线值：发帖 9 回帖 84 粉丝 3 关注私信	linso 1 9 楼不错哟，mark一下 2014-12-5 21:58 0
无心问世雪币： 249 活跃值： (435) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 118 粉丝 0 关注私信	无心问世 10 楼顶大牛，学习了 2014-12-5 23:23 0
BANDNOEE 雪币： 262 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	BANDNOEE 11 楼 Mk 普及哈。 2014-12-15 23:01 0
JackJoker 雪币： 188 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 414 粉丝 0 关注私信	JackJoker 12 楼写得不错，赞一个。 2014-12-18 19:15 0
Matrix 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	Matrix 13 楼重打包检测不就是这么做的嘛？我们也在这么做，配合一定的策略，的确可以弄出来 2014-12-20 11:02 0
小龙程序雪币： 67 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 129 粉丝 0 关注私信	小龙程序 14 楼再怎么加密都防止不了被破解的！ 2014-12-22 23:47 0
善良屠夫雪币： 201 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 159 粉丝 0 关注私信	善良屠夫 15 楼 mark 一下 .感谢楼主,感觉android 好危险 2015-1-13 20:41 0
riusksk 雪币： 433 活跃值： (1895) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 278 关注私信	riusksk 41 18 楼这里的危害全是基于证书私钥泄露吗？ 2015-3-24 16:46 0
netsniffer 雪币： 53 活跃值： (321) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 337 粉丝 5 关注私信	netsniffer 19 楼不是证书私钥泄露，只是Android老版本没有验证证书链上的所有证书是否有效 2015-3-24 18:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (16)
xJJuno 雪币： 14278 活跃值： (5301) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 397 粉丝 1 关注私信	xJJuno 2 楼 mark一下...... 2014-12-2 18:26 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 3 楼内容一般，实际上就是普及了一下Android签名验证的流程。现在Android的签名确实有些问题。因为签名这个东西使用的太广泛了，所以很多人会自己为其赋予很多"任务"，希望能共通过签名来验证应用是否为官方的，有没有被修改。但是Google对签名的态度就像文章中所说的"只是用来认证开发者拥有该证书的私钥"而已。是我们这些做安全的想多了。这里确实存在一些问题，之前我们也曾设想过，能不能站出来，把现在市面上的各个APP的公钥收集起来，做一个仲裁机构，用来做APP的验证，说不定哪天就成权威了。不过这东西，首先收益无法保证，其次Google的态度不确定，说不定Android哪个版本要变动。而且单纯地手机，谈不上安全。所以这个问题，说到底还是要Google来解决，如果对于开发者，由Google来颁发对应的证书，使用该证书对APP进行签名，然后Google提供证书查询接口，那么看起来就比较完美了。一些个人见解。 2014-12-2 18:40 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 4 楼就算做了安全措施，还是无法抵御大整数攻击~ 2014-12-2 19:28 0
boyliang 雪币： 233 活跃值： (148) 能力值： ( LV9，RANK：210 ) 在线值：发帖 10 回帖 75 粉丝 9 关注私信	boyliang 5 5 楼技术分析到位，赞 2014-12-3 09:53 0
coolyi 雪币： 21 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	coolyi 6 楼漫漫的全是干货，新人学习了 2014-12-3 09:57 0
JoyFei 雪币： 35 活跃值： (139) 能力值： ( LV7，RANK：100 ) 在线值：发帖 8 回帖 130 粉丝 1 关注私信	JoyFei 2 7 楼赞，mark！！ 2014-12-3 10:06 0
chence 雪币： 1327 活跃值： (385) 能力值： ( LV11，RANK：190 ) 在线值：发帖 13 回帖 73 粉丝 2 关注私信	chence 4 8 楼顶一个，分析总结不错，适合投稿呵... 2014-12-4 18:35 0
linso 雪币： 349 活跃值： (125) 能力值： ( LV7，RANK：100 ) 在线值：发帖 9 回帖 84 粉丝 3 关注私信	linso 1 9 楼不错哟，mark一下 2014-12-5 21:58 0
无心问世雪币： 249 活跃值： (435) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 118 粉丝 0 关注私信	无心问世 10 楼顶大牛，学习了 2014-12-5 23:23 0
BANDNOEE 雪币： 262 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	BANDNOEE 11 楼 Mk 普及哈。 2014-12-15 23:01 0
JackJoker 雪币： 188 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 414 粉丝 0 关注私信	JackJoker 12 楼写得不错，赞一个。 2014-12-18 19:15 0
Matrix 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	Matrix 13 楼重打包检测不就是这么做的嘛？我们也在这么做，配合一定的策略，的确可以弄出来 2014-12-20 11:02 0
小龙程序雪币： 67 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 129 粉丝 0 关注私信	小龙程序 14 楼再怎么加密都防止不了被破解的！ 2014-12-22 23:47 0
善良屠夫雪币： 201 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 159 粉丝 0 关注私信	善良屠夫 15 楼 mark 一下 .感谢楼主,感觉android 好危险 2015-1-13 20:41 0
riusksk 雪币： 433 活跃值： (1895) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 278 关注私信	riusksk 41 18 楼这里的危害全是基于证书私钥泄露吗？ 2015-3-24 16:46 0
netsniffer 雪币： 53 活跃值： (321) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 337 粉丝 5 关注私信	netsniffer 19 楼不是证书私钥泄露，只是Android老版本没有验证证书链上的所有证书是否有效 2015-3-24 18:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]Android证书验证存漏洞 开发者身份信息可被篡改

[原创]Android证书验证存漏洞开发者身份信息可被篡改