Sto effettuando ricerche su Android reimballaggio delle applicazioni . So che lo sviluppatore originale ha auto-firmato l'APK. È possibile che un hacker falsi la firma e la faccia apparire come firma originale quando si riconfigura?
Se hai accesso alla chiave privata dello sviluppatore, puoi semplicemente firmare l'APK modificato con la loro chiave e farlo. Se non lo fai, non sarai in grado di
Per creare firme APK, vengono utilizzati RSA e DSA. Non li supererai. Tuttavia, questo non significa nulla se è possibile trovare una collisione hash perché ciò che viene verificato da una firma non è il messaggio (che è il programma lungo tutti i suoi dati in questo caso) ma l'hash del messaggio. È possibile modificare il messaggio e lasciare spazio per una parte di cui non ti interessa e poi solo scorrere tra i possibili valori di quel campo che hai creato, cancellare il nuovo messaggio, passare alla successiva iterazione se l'hash non è uguale all'hash originale, e fermati e ricorda il messaggio modificato una volta che l'hash di esso è uguale a quello originale.
L'hash predefinito per gli APK è sha1. sha1 è debole. Ma non abbastanza debole da permettere a chiunque di trovare un secondo messaggio con lo stesso sha1 hash in qualsiasi momento. Inoltre, gli sviluppatori possono utilizzare più funzioni hash rispetto a sha1, quindi trovare un secondo messaggio appropriato diventa ancora più improbabile.
1 no, non puoi falsificare la firma digitale dell'apk senza rompere la crittografia.
2 Sì, puoi reimballare l'app, conservando la sua firma e la sua validità, ma hai bisogno che il contenuto degli apk sia identico.
3 ci sono le chiavi private predefinite usate per firmare gli apk in build di firmware distribuite su forum personalizzate disponibili pubblicamente. Naturalmente i grandi progetti di solito li cambiano, ma gli entusiasti che costruiscono build non ufficiali spesso non se ne preoccupano.
Leggi altre domande sui tag android code-signing digital-signature