[发明专利]一种检测安卓热补丁安全性的方法

说明书

技术领域

本发明涉及安全监测领域，尤其涉及一种检测安卓热补丁安全性的方法。

背景技术

热补丁（hotfix），又称为patch，指能够修复软件漏洞的一些代码，是一种快速、低成本修复产品软件版本缺陷的方式。热补丁的主要优势是不会使设备当前正在运行的业务中断，即在不重启设备的情况下，可以对设备当前软件版本的缺陷进行修复。

随着智能手机的迅猛发展，安卓应用竞争不断，导致安卓应用被快速开发及推广应用，安卓应用的快速开发难免存在一些软件设计方面的漏洞，同时，用户始终对安卓应用程序存在新的需求，为了不影响应用程序的使用，一般以热补丁的方式对安卓应用程序进行漏洞修复或更新，即在不中止应用程序的情况下对该应用程序进行修复或更新。

通常情况下，安卓应用在安装过程中，大部分手机都会对软件进行安全性检测，当检测通过后正常安装。对于安装后的安卓应用，采用热补丁进行修复和更新时，手机基本上不对修复和更新内容进行安全检测，如此无法保证安卓应用的安全性。

发明内容

本发明针对现有技术的不足，提出了一种检测安卓热补丁安全性的方法，该检测方法的应用，可有效判断安卓应用利用热补丁进行修复和更新时是否受到病毒的侵害，从而确保安卓应用的安全性。

本发明所述的一种检测安卓热补丁安全性的方法，分两步完成检测，主要包括：对dex热补丁文件进行安全扫描；然后利用安卓应用公钥验证所述dex热补丁文件的安全性。

进一步的，所述dex热补丁文件安全扫描步骤具体为:

获取安卓应用的补丁文件；

提取安卓应用补丁文件中的dex热补丁文件;

对dex热补丁文件进行安全扫描。

进一步的，利用安卓应用公钥验证所述dex热补丁文件的安全性具体为：

对获取安卓应用的补丁文件进行zip压缩形成patch.zip文件；

利用待升级安卓应用的APK签名证书对patch.zip文件进行签名；

获取待升级安卓应用的签名公钥；

比较所述签名及所述签名公钥，如果相同，则说明安卓热补丁安全，否者安卓热补丁不安全。

进一步的，利用待升级安卓应用的APK签名证书对patch.zip文件进行签名的签名命令为：

jarsigner -verbose -keystore KEYSTORE_FILEPATH -signedjar patch_v.zip patch.zip others

其中:KEYSTORE_FILEPATH表示apk证书的路径; patch_v.zip表示签名完成后的ZIP文件名；patch.zip表示需要签名的文件名；others表示证书的别名.

进一步的，获取待升级安卓应用的签名公钥步骤为：

获取安卓包管理器；

获取证书工厂；

获取正在运行的安卓应用签名；

获取正在运行的安卓应用签名的公钥。

进一步的，所述比较所述签名及所述签名公钥的方法为：

读取patch.zip文件的签名；

检测patch.zip文件的签名是否完整；

利用待升级安卓应用的签名公钥对patch.zip文件的签名进行验证，验证通过则证明该补丁是安全的，验证不通过则表示是不可信任的补丁程序。

本发明所述技术方案的有益效果在于：利用本发明所述的检测方法，能有效的监控热补丁文件是否合法，防止病毒感染手机。

具体实施方式

为了使本领域技术人员更好地理解本发明的技术方案，下面结合具体实施例对本发明作进一步的详细说明。

正常情况下，手机中的安卓应用安装及运行流程为：

安卓应用的apk包被安装器调用，检查安卓应用签名后，解析apk中的安卓Manifest，记录权限声明和四大组件等信息，解压出lib中的so库；

桌面应用收到安卓应用安装信息，解析apk获得应用图标显示出来，并存储启动Activity信息；

当桌面点击该安卓应用运行时，调用启动Activity ；

由系统启动应用的进程，默认进程名是应用安装时写在安卓Manifest中的包名；

应用进程加载apk中dex里的代码，加载必要的资源；

显示启动Activity页面，安卓应用启动。