首页>网络安全资讯>Google更新文件签名检查Android APP

Google更新文件签名检查Android APP

Google正在改变Play商店应用在安装前验证Android APP真实性的方式。该公司计划修改APK(Android APP)文件头以包含一个新的元数据字段,其中含有APP文件签名。

之前的安卓 APP不包含此字段,因为他们不需要文件签名,因为Google批准的APP只能通过官方的Play商店应用安装,该应用在应用安装之前在后台处理了所有这些检查。

随着APP文件签名添加到APK本身,Google现在允许用户从Play商店下载官方应用程序并通过其他渠道发布它们,以免它们以任何方式修改应用程序。

官方应用程序现在可以在离线时安装

“我们这样做的一个原因是帮助开发人员吸引更多的受众,特别是在那些因为昂贵的数据计划和有限的连接而普遍实现点对点应用共享的国家,”Google Play产品经理James Bender说。

“未来,当设备离线时我们也将能够确定Android APP的真实性。”他补充说。

当用户尝试将他通过其中一个对等应用共享网络获得的应用侧载时,Play商店应用将验证附加的元数据字段,并且将能够确定该应用是否来自官方Google Play商店,允许安装并将其与手机的官方应用广告资源进行同步。

当用户重新联机时,应用程序将自动排队以接收来自Play商店的更新,这是以前在用户离线时无法加载APP的情况。

更新文件签名将拓宽APP分发渠道

Bender说,这个新的APP文件签名字段将有利于开发人员,因为他们有更广泛的APP分发渠道,不会仅限于Play商店。

一些安全研究人员争论此次变更,认为此次更改可能允许曾经在官方Play商店中短时间上传的恶意应用在通过离线分发渠道分发时显示为真实,因为其文件签名在从Play商店中移除后显示为真实。

所以恶意APP已设法潜入商店,但后来从这里移除,将可以通过其他渠道分发。“好消息是,这种改变对应用程序开发人员和用户而言是无缝的,他们不需要做任何事情。 Google将会进行所有更新。” - 维斯(@VessOnSecurity)2018年6月20日

“我们正在调整Google Play的最大APK大小,以考虑插入APK签名分块的小量元数据添加,”Bender说。

文章来源:Bleeping computer,沃通原创翻译,转载注明来源