V2EX › s82kd92l 的所有回复 › 第 14 页 / 共 17 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 ... 6 7 8 9 10 11 12 13 14 15 ... 17

❮

❯

2018 年 1 月 18 日

回复了 s82kd92l 创建的主题 › Android › 为啥不利用修改 apk 的 manifest 来控制软件行为？

@huclengyue @honeycomb 获取签名的函数是通过 IBinder 在 ActivityMangerService 的系统进程中实现的，java 反射怎么可能穿越进程甚至穿越不同 UID 呢？

2018 年 1 月 17 日

回复了 s82kd92l 创建的主题 › Android › 为啥不利用修改 apk 的 manifest 来控制软件行为？

@zjb861107 开源即可

2018 年 1 月 17 日

回复了 s82kd92l 创建的主题 › Android › 为啥不利用修改 apk 的 manifest 来控制软件行为？

@skylancer 之前改过 whatsapp 和另外一款依赖 gcm 的开源软件，可以运行。国内流氓还没试过。待会儿试试高德地图

2018 年 1 月 17 日

回复了 s82kd92l 创建的主题 › Android › 为啥不利用修改 apk 的 manifest 来控制软件行为？

@didikee java 代码是孙悟空，manifest 是如来神掌。java 代码怎么写也不能脱离 manifest 控制，动态广播没有权限是没用的，哪怕有权限，app 不在后台运行时也是没用的。

2018 年 1 月 17 日

回复了 s82kd92l 创建的主题 › Android › 为啥不利用修改 apk 的 manifest 来控制软件行为？

@honeycomb 所以我在原帖了说了“尽量做到每个 apk 单独签名"，这样不同的 app 就没法利用相同签名获取别人家的权限。

2018 年 1 月 17 日

回复了 s82kd92l 创建的主题 › Android › 为啥不利用修改 apk 的 manifest 来控制软件行为？

@meisky6666 修改 2 确实可能出现这个问题，但还有 1 和 3 可以改，风险相对小。

还可以利用社区的力量，做些类似于绿守处方的东西，让小白也知道对于某些特定 apk，哪些服务 /权限能禁哪些不能禁。比如*.permission.MIPUSH_RECEIVE 这种权限，我打赌你全禁掉也没事。

2018 年 1 月 17 日

回复了 s82kd92l 创建的主题 › Android › 为啥不利用修改 apk 的 manifest 来控制软件行为？

@honeycomb 并不是对所有程序关闭校验，而是可以让用户选择性替换。

再说了，签名机制对用户的保护无非就是防止升级包被篡改，但这个功能可以让修改 manifest 的 app 自己做到，提供相同级别的保护。

这里有一个安装前 /安装后签名校验的区别。所有对自身签名验证的 apk,都是利用系统提供的 api,因为他们没法直接读取自身的 apk 文件，只能依靠系统服务。而安装前我们是可以直接读取 apk 文件的，得到的签名信息是绝对可靠的，不存在安全问题。

2018 年 1 月 17 日

回复了 s82kd92l 创建的主题 › Android › 为啥不利用修改 apk 的 manifest 来控制软件行为？

@Qlccks2 @huclengyue @tscat apk 签名校验是可以通过 xposed 或者对 rom 本身做修改来绕过的，连谷歌全家桶都能被欺骗，参见
https://github.com/Lanchon/haystack
https://github.com/thermatk/FakeGApps

如果哪一天签名校验成了常态，装个 xposed 就好了。

2018 年 1 月 17 日

回复了 s82kd92l 创建的主题 › Android › 为啥不利用修改 apk 的 manifest 来控制软件行为？

还想说一点，很多人指责国内 android 环境太差，说国外月亮更圆。然而事实上国外的 app 并没有更安分到哪里去，去搜一搜 android information flow leak 就能知道即使在 google play 上面上架的应用，照样普遍利用 android 不完善机制达到各种泄漏。
国内不好的地方在于没有推送机制所以要各种保活，以至于使用户卡顿。然而就算有了推送机制，有了统一的 app 发布平台，只要开发者有一锤子买卖的权力，那么 android 沙盒照样是漏洞百出，用户隐私依然形同虚设。

2018 年 1 月 17 日

回复了 s82kd92l 创建的主题 › Android › 为啥不利用修改 apk 的 manifest 来控制软件行为？

@XinLake 这个不是我们改，而是授之以渔让用户自己改，区别很大的。

指望提高素质是没用的，道德永远没有制度管用。Android 生态最大的问题在于，既没有 apple 的人工审核机制，也不让用户有更多选择权，而是在权限问题上做 all-or-nothing 的一锤子买卖，从而赋予开发者最大的话语权。我这个想法无非是给用户更多权利罢了。

2018 年 1 月 17 日

回复了 s82kd92l 创建的主题 › Android › 为啥不利用修改 apk 的 manifest 来控制软件行为？

@honeycomb 那也得 targetSdkVersion>O，限制才有效吧。我自己在用 oreo+appops，可是对于广大非 root 的手机，和那些无法升级到 oreo 的这个是值得一试的方案。

@Totato5749 6.0 的权限除了动态申请，用户也可以在软件管理界面里手动赋予的。

@Leafove @ju5t4fun 这个是个现成的 xposed 签名修改模块，目前用于欺骗 google sdk，应该也能用于欺骗那些做加固自签名校验的:
http://repo.xposed.info/module/com.thermatk.android.xf.fakegapps

2018 年 1 月 17 日

回复了 s82kd92l 创建的主题 › Android › 为啥不利用修改 apk 的 manifest 来控制软件行为？

@Leafove App 通过什么途径检查自身完整呢？还是只能通过系统提供的 api 吧。这种一般都是付费软件防盗版用的，要不就不装，要不就用 xposed 治理。

2018 年 1 月 17 日

回复了 s82kd92l 创建的主题 › Android › 为啥不利用修改 apk 的 manifest 来控制软件行为？

之前听说过 lucky patcher 貌似要 root

2018 年 1 月 17 日

回复了 s82kd92l 创建的主题 › Android › 为啥不利用修改 apk 的 manifest 来控制软件行为？

@leafleave 能改 targetSdkVersion 吗？

2018 年 1 月 17 日

回复了 s82kd92l 创建的主题 › Android › 为啥不利用修改 apk 的 manifest 来控制软件行为？

@ju5t4fun 这种应该不占大多数吧，实在不行就把保存在 manifest 里面的原始签名发给他。（用 xposed 可做到...门槛开始有点高了）