Android安全测试（一）数字签名检测

1.测试环境

SDK： Java JDK， Android SDK。

 

下图为利用中间人攻击的手段，将智能电视上所有影片的封面图替换的实际效果图

利用中间人攻击还可以进行token获取等，所以不要轻易使用未知的wifi

 

接下来就开始写一点Android安全测试的东西

1、数字签名检测

打开cmd，进入到JDK的安装路径，C:\Program Files\Java\jdk1.8.0_111\bin，输入命令:

jarsigner.exe -verify APK文件路径

 

当输出结果为“jar已验证”，则表示签名正常，测试通过。

2、检测签名的字段是否正确标示客户端程序的来源和发布者身份，输入命令：

jarsigner.exe -verify -verbose -certs APK文件路径

若各个字段与我们预期的一致，则测试通过

需要注意的是，只有在直接客户签名的证书签名时，才认为安全。 Debug 证书、第三方（如开发方）证书等均认为是风险