Android安全测试之数字签名检测

一、环境准备

1、jdk1.8
2、需测试的Android SDK

二、详细步骤

1、数字签名检测
打开cmd，进入到JDK的安装路径，C:\Program Files\Java\jdk1.8.0_111\bin，输入命令:

jarsigner.exe -verify APK文件路径

当输出结果为“jar已验证”，则表示签名正常，测试通过。

2、检测签名的字段是否正确标示客户端程序的来源和发布者身份，输入命令：

jarsigner.exe -verify -verbose -certs APK文件路径

若各个字段与我们预期的一致，则测试通过
需要注意的是，只有在直接客户签名的证书签名时，才认为安全。 Debug 证书、第三方（如开发方）证书等均认为是风险

1、签名信息，姓名、部门或公司名称这三项中保证至少有一项不为空，签名信息的每一项需保证真实有效，不能为网址、乱码等无效信息；

2.不能出现debug的签名（签名信息中含有debug字样，如CN=Android Debug等）

3、非谷歌官方应用，不得采用安卓公开证书Android/emailAddress=android@android.com，第三方应用的签名信息一般不能签huawei