app安全评估之客户端程序安全（安装包签名）

安全场景描述：

每个Android应用程序想要安装运行,必须经过签名.所以开发者在发布安装包时,

必须对安装包进行签名.签名信息中包含的组织信息,将便于用户识别安装包的真伪.

部分手机杀毒软件也是基于签名信息进行查杀的.因此一个完整详细的签名信息,

有助于提高用户分辨真伪安装包.

威胁等级：

中：使用调试签名、疑似调试签名 低：使用企业签名，但组织信息不够完善

影响范围：

Android所有版本

测试步骤

使用命令：jarsigner -verify -verbose -certs xxx.apk

 

 说明该app无此类漏洞。

修复建议

• 完善企业签名组织信息
• 在应用发布时使用企业签名对安装包进行签名