2 votos

Long avatar

Trabajar con metadatos de seguridad en el archivo APK

Preguntado el 12 de Noviembre, 2018
Cuando se hizo la pregunta
251 visitas
Cuantas visitas ha tenido la pregunta
1 Respuestas
Cuantas respuestas ha tenido la pregunta
Abierta
Estado actual de la pregunta

Según esta entrada del blog Google ha añadido un metadato de seguridad en la parte superior de un APK para verificar que fue distribuido originalmente por Google Play. Más concretamente, añade Bloqueo de la firma del APK al archivo APK.

Tengo algunas preguntas al respecto:

(1) ¿Cómo insertó Google los metadatos en el bloque de firma del APK y cómo verifica esos metadatos en el teléfono (técnicamente)?

¿Supongo que es posible crear contenido personalizado en este bloque de firmas? Digamos que quiero distribuir algún APK de forma privada en mi empresa, cuando el usuario instala ese APK entonces puedo averiguar si el APK pertenece a nuestra empresa o no, al igual que hizo Google con sus aplicaciones en Play Store.

(2) Si todos los promotores utilizan Firma de aplicaciones por parte de Google Play Entonces, ¿los mencionados metadatos de seguridad son innecesarios? Porque Google puede simplemente verificar el certificado dentro de cada APK.

Mis disculpas por la superficialidad de la comprensión. Cualquier comentario será muy apreciado.

Preguntado el 12 de Noviembre, 2018 por Long

Respuesta

¿Demasiados anuncios?

1voto

pr0nin avatar
pr0nin Puntos 353

¿Cómo insertó Google los metadatos en el bloque de firma del APK y cómo verifica esos metadatos en el teléfono (técnicamente)?

Técnicamente, la firma "Frosting" de Google se inserta de la misma manera que se describe en el Esquema de firma APK v2 . Tenga en cuenta que sólo se añade a la misma sección dentro del archivo ZIP - no reemplaza ninguna firma existente en esta sección.

¿Supongo que es posible crear contenido personalizado en este bloque de firmas? Digamos que quiero distribuir algún APK de forma privada en mi empresa, cuando el usuario instala ese APK entonces puedo averiguar si el APK pertenece a nuestra empresa o no, al igual que hizo Google con sus aplicaciones en Play Store.

Por lo que sé, los únicos "metadatos" son la propia firma. Si está presente es un APK de Play Store.

Si todos los desarrolladores utilizan App Signing by Google Play, ¿se vuelven innecesarios los metadatos de seguridad mencionados anteriormente? Porque Google puede simplemente verificar el certificado dentro de cada APK.

No. La firma de Google Frosting es sólo una firma adicional. El modelo de permisos de Android sigue confiando en la firma común del APK por parte del desarrollador. Sólo la aplicación Google Play Store es capaz de verificar la firma de Google Frosting. Las otras partes del sistema Android (las de AOSP) ni siquiera reconocen esta firma.

Para más detalles técnicos, consulte esta pregunta + respuestas en Stackoverflow: Metadatos de seguridad en el APK de Android

Respondido el 23 de Octubre, 2019 por pr0nin (353 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

PreguntAndroid.com

PreguntAndroid es una comunidad de usuarios de Android en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X