Android系统代码签名验证机制的实现及安全性分析被引量：14

Studying the Implementation and Security of the Signature Authentication Mechanism in Android

机构地区：[1]中国科学院信息工程研究所信息安全国家重点实验室,北京100093

出　　处：《信息网络安全》2012年第8期61-63,共3页Netinfo Security

基　　金：中国科学院战略性先导专项子课题海云信息安全共性关键技术研究[XDA06010702];国家自然科学基金[70890084/G021102;61003274]

摘　　要：文章通过静态分析Android系统源代码以及动态监控应用程序安装、执行过程中的签名验证流程,对Android系统的代码签名验证机制进行深入的剖析,发现Android系统仅在应用程序安装时进行完整的代码签名验证,在后续的程序执行过程中只对程序包进行简单的时间戳及路径验证。该安全隐患使得攻击代码可以绕过签名验证机制,成功实施攻击。In this paper, the author provided a thorough analysis of the signature authentication mechanism in Android, via statically analyzing the Android source code and dynamically monitoring the executing of the signature authentication mechanism during the process of application installation and executing. Through the analysis, the author finds that Android applications are authenticated only at the installation, but not at the execution. Every time the applications are executed, only the applications＇ timestamps and file paths are verified. The security risk makes it possible for the attack codes to bypass the signature authentication mechanism, and launch attacks successfully.

关键词：代码签名 ANDROID apk程序签名验证

分类号：TP393.08[自动化与计算机技术—计算机应用技术]

参考文献：

正在载入数据...

二级参考文献：

正在载入数据...

耦合文献：

正在载入数据...

引证文献：

正在载入数据...

二级引证文献：

正在载入数据...

同被引文献：

正在载入数据...

高级检索 检索式检索

时间限定

期刊范围

学科限定全选

高级检索 检索式检索

时间限定

期刊范围

学科限定全选

Android系统代码签名验证机制的实现及安全性分析被引量：14

我的收藏

参考文献：

二级参考文献：

耦合文献：

引证文献：

二级引证文献：

同被引文献：

相关期刊文献：

相关的主题

相关的作者对象

相关的机构对象

下载全文

高级检索检索式检索

时间限定

期刊范围

学科限定全选

高级检索 检索式检索

时间限定

期刊范围

学科限定全选

Android系统代码签名验证机制的实现及安全性分析 被引量：14

我的收藏

参考文献：

二级参考文献：

耦合文献：

引证文献：

二级引证文献：

同被引文献：

相关期刊文献：

相关的主题

相关的作者对象

相关的机构对象

下载全文

用户登录

高级检索检索式检索

Android系统代码签名验证机制的实现及安全性分析被引量：14