MASTG-TEST-0224: 不安全签名版本使用
概述¶
不使用较新的 APK 签名方案意味着该应用程序缺乏更强大、更新的机制所提供的增强安全性。
此测试检查是否启用了过时的 v1 签名方案。v1 方案容易受到某些攻击,例如 "Janus" 漏洞 (CVE-2017-13156),因为它不覆盖 APK 文件的所有部分,从而允许恶意行为者可能修改 APK 的部分而不会使签名失效。因此,仅依赖 v1 签名会增加篡改风险并损害应用程序安全性。
要了解有关 APK 签名方案的更多信息,请参阅 “签名过程”。
步骤¶
- 从 AndroidManifest.xml 中获取
minSdkVersion属性,例如,通过 从 AndroidManifest 获取信息。 - 列出所有已使用的签名方案,如 获取有关 APK 签名的信息中所示。
观察¶
输出应包含 minSdkVersion 属性的值和使用的签名方案(例如 Verified using v3 scheme (APK Signature Scheme v3): true)。
评估¶
如果应用程序的 minSdkVersion 属性为 24 或更高,并且仅启用了 v1 签名方案,则测试用例失败。