测评目的 检测App程序启动时是否校验签名证书。
危险等级 高
危害 签名证书是对App开发者身份的唯一标识,开发者可利用签名证书有效降低App的盗版率。未进行签名证书的App,可能被反编译后进行二次打包。重新打包签名的应用,可能导致App被仿冒盗版,影响其合法收入,甚至可能被添加钓鱼代码、病毒代码、恶意代码,导致用户敏感信息泄露或者恶意攻击。
测评结果 存在风险(发现1处)
测评结果描述 该App程序未对签名证书进行校验,被其他证书重新签名可正常启动。
测评详细信息 --------- beginning of main
--------- beginning of system
04-20 18:09:35.291 22352 22665 I ActivityManager: START u0 {flg=0x10000000 cmp=com.jointown.zycapp/io.dcloud.PandoraEntry} from uid 2000 on display 0
04-20 18:09:35.318 22352 22367 I ActivityManager: Start proc 25900:com.jointown.zycapp/u0a3354 for activity com.jointown.zycapp/io.dcloud.PandoraEntry
04-20 18:09:35.693 22352 23322 I ActivityManager: START u0 {flg=0x10000000 cmp=com.jointown.zycapp/io.dcloud.PandoraEntryActivity (has extras)} from uid 13354 on display 0
04-20 18:09:36.296 22352 22414 I ActivityManager: Displayed com.jointown.zycapp/io.dcloud.PandoraEntryActivity: +576ms (total +990ms)
解决方案 开发者自查:增加签名证书的校验代码,降低App被二次打包的几率。
0 个回复