#android #apk #schema #signature #signing
Вопрос:
Является ли Android N и новее игнорирует подпись v1, если мы подписали apk со схемой v1, v2 и v3. Если у нас есть все 3 схемы, значит, существует какой-либо риск для безопасности при наличии подписи v1 в приложении?
Комментарии:
1. В документации упоминаются некоторые недостатки проверки подписей v1: «Верификатору APK необходимо обработать множество ненадежных (еще не проверенных) структур данных, а затем удалить данные, не покрытые подписями. Это обеспечивает значительную поверхность атаки. Кроме того, верификатор APK должен распаковать все сжатые записи, что отнимает больше времени и памяти».
2. Это знание схемы v1 , что, если мы подпишем v1 и v2, так что N и более новые будут игнорировать ненадежные (еще не проверенные) структуры данных v1.? мой вопрос очень прост .
3. Ваш вопрос в настоящее время звучит так : каким был бы недостаток, если бы Android также проверил подпись v1 в дополнение к более новым подписям? И это то, что я прокомментировал. Если вы имели в виду что-то другое, пожалуйста, отредактируйте свой вопрос и уточните, о чем именно вы спрашиваете.
4. Конечно, обновлено. я просто хочу знать, что если мой apk подписан с v1 v2 и v3, то N и более новая версия игнорируют V1 ??
5. Логика этого описана в блок-схеме (рис.1) на странице, на которую я ссылался в своем первом комментарии, а также на странице документации signature v2 .