No estoy familiarizado con la idea de firmar archivos, y no puedo encontrar una respuesta satisfactoria hasta el momento, así que creo que será mejor que pregunte:¿La suscripción a la aplicación protege contra la manipulación del archivo?
Lo que quiero saber es cuando firmo un archivo binario (para Android), la herramienta de firma asigna algún tipo de suma de comprobación al archivo para que cuando un pirata haya cambiado algo en el archivo apk, el programa se niegue a iniciarse porque la suma de comprobación no coincide. ¿Este mecanismo existe en la herramienta de firma de Android?
Bueno, entiendo que cuando un hacker tiene el binario, puede deshabilitar todo lo que quiera, incluido el control de suma de comprobación. Pero la pregunta es: ¿la herramienta de firma de Android proporciona este nivel o protección en primer lugar?
¡Gracias por leer y responder!
Muchas gracias! Sí, mientras trabajaba en este tema, vi una publicación SO que dice que su aplicación fue reeditada en Android Market por algún hacker bajo su propio nombre. Supongo que esto es exactamente lo que dijiste aquí. (Hace muchos años solía utilizar este enfoque: después de realizar una compilación, agregaré mi propia suma de verificación al archivo binario. Y en tiempo de ejecución, el programa realiza su propia comprobación.¡Pero esto no funciona hoy en día, porque esto significaría que estoy manipulando un binario con firma yo mismo!) – wwyt
@wwyt puedes intentar verificar la aplicación * signature * en tiempo de ejecución, pero un hacker particularmente emprendedor podría simplemente eliminar los cheques si no lo haces bien Su mejor opción es algo así como el servicio de licencias de Android (http://developer.android.com/guide/publishing/licensing.html). –
@wwyt El SDK de inicio de sesión único de Facebook hace algo como esto para garantizar que ninguna aplicación maliciosa se apropie de su intención: https://github.com/facebook/facebook-android-sdk/blob/master/facebook/src/com/ facebook/android/Facebook.java # L244-277 –