一、环境准备
1、jdk1.8
2、需测试的Android SDK
二、详细步骤
1、数字签名检测
打开cmd,进入到JDK的安装路径,C:\Program Files\Java\jdk1.8.0_111\bin,输入命令:
jarsigner.exe -verify APK文件路径
当输出结果为“jar已验证”,则表示签名正常,测试通过。
2、检测签名的字段是否正确标示客户端程序的来源和发布者身份,输入命令:
jarsigner.exe -verify -verbose -certs APK文件路径
若各个字段与我们预期的一致,则测试通过
需要注意的是,只有在直接客户签名的证书签名时,才认为安全。 Debug 证书、第三方(如开发方)证书等均认为是风险
1、签名信息,姓名、部门或公司名称这三项中保证至少有一项不为空,签名信息的每一项需保证真实有效,不能为网址、乱码等无效信息;
2.不能出现debug的签名(签名信息中含有debug字样,如CN=Android Debug等)
3、非谷歌官方应用,不得采用安卓公开证书Android/[email protected],第三方应用的签名信息一般不能签huawei