未实现篡改检测:未修补(仍然可以通过使用 apk easy 进行逆向工程/篡改 apk,反编译并修改 res 文件夹,然后再次重新编译并成功地能够对修改后的 apk 进行签名,并能够在 apk 中看到修改
如何为Android应用程序添加防篡改。或者我们可以混淆res文件夹吗?
自 APK 签名方案 v2(在 Android 7 中添加)以来,APK 的所有内容都经过哈希处理和签名(包括资源)。
在验证过程中,v2+ 方案将 APK 文件视为 blob,并对整个文件执行签名检查。对 APK 的任何修改(包括 ZIP 元数据修改)都会使 APK 签名失效。这种形式的 APK 验证速度明显更快,并且能够检测更多类别的未经授权的修改。
当应用程序上传到 Play 商店时,签名验证由 Google Play 完成;当应用程序安装到设备上时,签名验证由包管理器完成。
更多信息:
https://developer.android.com/studio/publish/app-signing https://developer.android.com/about/versions/nougat/android-7.0#apk_signature_v2 https://source.android.com/docs/security/features/apksigning#v2