フィッシング攻撃を防ぐために実行時にインストールされたアプリケーションを確認する方法は？

Question

デバイスにペイメントアプリケーションがあり、アプリケーションがそのアプリケーションのサービスに接続して、支払いアクティビティの開始を待機してから、onActivityResult（）メソッドの結果を聞きます（アプリ内購入シナリオと同様）

お支払い予定のパッケージ名を設定しました。しかし、あなたが知っている、それは支払いアプリケーションが信頼されているという保証はありません。同じパッケージ名と同じaidl-serviceインプリメンテーションを持つ未知のソースから偽のアプリケーションをインストールすると、保留中のインテントとフィッシングのユーザー情報が表示されます。

私は支払いの結果をいくつかの仕組みで検証し、私のアプリケーションは偽の支払い結果からしか保護されませんが、アプリケーションのユーザーはフィッシャーアプリケーションでデータを入力します。私は私が他のアプリケーションの署名と公開鍵を確認することができ、いくつかのアプローチを知って

（この段落は、私の問題は、ペイメントアプリケーションの応答を信頼していないと言う、私の問題は、前に、それらの活性を起動決済アプリケーションを信頼されます）。 の場合Android OS 公開鍵と署名が読み取り専用であり、インストール済みのアプリケーションと一致することが保証されていれば、支払いアプリケーションの公開鍵を確認してから送信することができます。インストール時のみ一致を確認してください。

フィッシング攻撃を防止するための提案（類似または異なるアプローチ）

： 私の法人のWebサイトからアプリケーションのユーザーインストールアプリケーションの約50％（Unknown-Source）を直接更新しました。

Answer 1

AndroidはPlayストア、Amazon App Storeからアプリがインストールされているかどうかを確認するネイティブメソッドを提供しています。しかし、他のアプリでも動作しますか？

方法を見てみましょう：

PackageManager.getInstallerPackageName(String packageName)(Documentation)

あなたのために幸い

、getInstallerPackageNameは、あなたがそれをあなたの隣人、アプリのパッケージIDを養うことができることを意味文字列のパッケージ名を受け入れ、それが返してきましたそれをインストールしたパッケージ名！あなたの隣人アプリがPlayストアでインストールした場合

この例では、別名com.android.vendingを教えてくれます：

if(context.getPackageManager().getInstallerPackageName("com.untrusted.app") == 
    "com.android.vending") {       // ^^^ CHANGE ^^^ 

    //Verified; app installed directly from Play Store 
} 

アマゾンアプリストアが奇数のパッケージ名を持っています

if(context.getPackageManager().getInstallerPackageName("com.untrusted.app") == 
    "com.amazon.venezia") { 

    //Verified; app installed directly from Amazon App Store 
} 

これがすべてでなければなりませんあなたが必要とする、それが助けて欲しい！

Answer 2

メインアプリがパッケージマネージャーapiを介して支払いアプリの署名を取得し、それを（署名のウィットリストなどで）検証するとどうなりますか？確認プロセスは、メインのアプリサーバーでも行われます。

EDIT：あなたが探しているものをその

 List<byte[]> whitelist = ... ; // load from config or something... 

     PackageManager pm = this.getPackageManager(); 
     String packageName = "payment.app.package.name"; 

     PackageInfo packageInfo = pm.getPackageInfo(packageName, PackageManager.GET_SIGNATURES); 
     Signature[] signatures = packageInfo.signatures; 

     for (Signature sig : signatures) { 
      InputStream input = new ByteArrayInputStream(sig.toByteArray()); 
      CertificateFactory cf = CertificateFactory.getInstance("X509"); 
      X509Certificate cert = (X509Certificate) cf.generateCertificate(input); 

      PublicKey pb = cert.getPublicKey(); 
      if (! whitelist.contains(pb.getEncoded())) { 
       throw new Exception("public key is not valid"); 
      } 
     } 

Answer 3

よう 気にいらないが、アプリの署名と権限を組み合わせたものです。明確にするために、これは両方のアプリケーションを所有し、同じキーで署名することができる場合にのみ機能します。ドキュメントによれば

：

「署名」：要求しているアプリケーションが 許可を宣言アプリケーションと同じ証明書で署名されている場合にのみ、システム許可許可。証明書が一致すると、システムは自動的に にユーザーに通知せずに、または ユーザーの明示的な承認を求めずに許可を与えます。

これは、Android OS自体が、許可を得るために2つのアプリケーションの署名が一致しなければならないことを強制します。誰かがあなたのアプリを偽造しようとすると、許可が与えられないので、これはあなたが望むものです。彼らはあなたの秘密鍵で自分のアプリに署名することはできないので、あなたの署名を偽造する方法はありません。

許可を作成するには、決済サービスを提供するアプリケーションのためのあなたのマニフェストでは、あなたはこのようにそれを宣言する必要があります、そして、

<manifest xmlns:android="http://schemas.android.com/apk/res/android" 
    package="com.example.myapp.paymentservice" > 

    <permission android:name="com.example.myapp.paymentservice.permission.PAYMENT" 
     android:label="@string/permission_payment_label" 
     android:description="@string/permission_payment_description" 
     android:protectionLevel="signature" /> 
    ... 

、あなたのサービスを宣言するとき、あなたは宣言android:permissionとそれを守ります：

<manifest xmlns:android="http://schemas.android.com/apk/res/android" 
    package="com.example.myapp.clientapp" > 

    <uses-permission android:name="com.example.myapp.paymentservice.permission.PAYMENT" /> 
    ... 
</manifest> 

：

... 
    <service android:name=".BillingService" 
     android:permission="com.example.myapp.paymentservice.permission.PAYMENT" /> 
</manifest> 

最後に、あなたがその権限を使用しているクライアントアプリケーション（複数可）に宣言する

2つのアプリケーションが同じ署名鍵で署名されている限り、OSは許可を与えます。詳細については、http://developer.android.com/guide/topics/security/permissions.html#definingとhttp://developer.android.com/guide/topics/manifest/permission-element.html