摘　要：在移動互聯(lián)網(wǎng)時代，安卓移動應用軟件已經滲透到人們生產生活的方方面面，安卓代碼簽名的安全問題一直是黑灰產關注的重點。通過分析不同版本的安卓代碼簽名機制以及代碼簽名在證書算法、證書使用、軟件權責、軟件保護、證書更新等方面存在的風險挑戰(zhàn)，從行業(yè)標準、企業(yè)內部、政策監(jiān)管、產業(yè)鏈責任和義務等方面向產業(yè)相關方提出對策建議，為行業(yè)相關技術研究、標準制定和政策發(fā)布提供參考。

內容目錄：

1　代碼簽名的作用和流程
1.1　代碼簽名的作用
1.2　代碼簽名的流程
2　安卓代碼簽名技術的演進
2.1 V1 簽名機制
2.2 V2 簽名機制
2.3 V3 簽名機制
2.4 V4 簽名機制
3　安卓代碼簽名的安全挑戰(zhàn)
3.1　代碼簽名證書算法存在安全風險
3.2　代碼簽名證書私鑰易被泄露
3.3　代碼簽名的軟件權責認定能力缺失
3.4　代碼簽名的軟件防篡改能力減弱
3.5　代碼簽名證書更新代價大
4　應對措施
4.1　推動代碼簽名證書相關標準的制定和應用
4.2　加強企業(yè)代碼簽名密鑰管理制度建設
4.3　施行代碼簽名證書第三方認證
4.4　落實上架、安裝環(huán)節(jié)代碼簽名驗證
4.5　提升產業(yè)下游代碼簽名驗證能力
5　結　語

近年來，隨著移動互聯(lián)網(wǎng)的高速發(fā)展，移動應用軟件已經滲透到人們生產生活的方方面面。移動設備相比個人電腦承載了更多的個人信息和隱私數(shù)據(jù)。移動應用軟件從移動設備上獲取個人信息后，再結合大數(shù)據(jù)和算法給用戶做精準畫像和推薦，雖然極大地提升了移動互聯(lián)網(wǎng)的服務質量，但隨之而來的軟件安全和合規(guī)問題也逐步引起了人們的關注。以安卓生態(tài)為例，詐騙、仿冒、破解、違規(guī)收集、違規(guī)使用個人信息等侵害用戶權益的應用軟件屢見不鮮，給用戶造成了直接經濟損失和個人信息泄露。

針對這一現(xiàn)狀，在監(jiān)管方面，國家已經出臺了一系列的法律法規(guī)標準來要求移動應用軟件的關鍵責任鏈主體落實相關責任和義務，并取得了一定的社會成效，但部分企業(yè)服務行為不規(guī)范、技術能力欠缺、相關環(huán)節(jié)責任落實不到位等問題仍時有發(fā)生。在技術管控方面，谷歌設計了應用軟件代碼簽名機制，旨在用于保護開發(fā)者應用軟件的完整性和安全性。然而，由于生態(tài)過于開放，相關技術公開透明，因此代碼簽名的安全問題一直是黑灰產關注的重點，攻擊者通常會利用一些已知的代碼簽名漏洞實施網(wǎng)絡攻擊，實現(xiàn)各類非法目的，嚴重影響移動互聯(lián)網(wǎng)的健康有序發(fā)展。本文將探討安卓應用軟件代碼簽名當前面臨的安全挑戰(zhàn)，并提出相關應對措施。

1 代碼簽名的作用和流程

1.1　代碼簽名的作用

代碼簽名是指利用數(shù)字證書對軟件代碼文件進行數(shù)字簽名的一種活動。數(shù)字簽名是指使用證書私鑰對代碼文件進行加密的過程。在操作系統(tǒng)中，代碼簽名通常用于確保安裝和運行的軟件是操作系統(tǒng)所信任的。代碼簽名還可以描述為將軟件與一個數(shù)字證書綁定，以確保該軟件的身份可信和代碼完整。只有當數(shù)字證書被操作系統(tǒng)信任時，操作系統(tǒng)才會允許該軟件安裝和運行。通過使用代碼簽名，可以提高操作系統(tǒng)的安全性和穩(wěn)定性，防止惡意軟件和不受信任軟件程序的安裝和運行。

1.2　代碼簽名的流程

代碼簽名的實現(xiàn)流程包括以下 5 個步驟。

1.2.1　生成數(shù)字證書

代碼簽名是為軟件開發(fā)者設計的。首先，開發(fā)者需要向操作系統(tǒng)信任的數(shù)字證書機構申請代碼簽名證書；其次，對于部分不驗證數(shù)字證書的信任關系的操作系統(tǒng)（如安卓操作系統(tǒng)），安卓開發(fā)者可自行生成數(shù)字證書。數(shù)字證書包含開發(fā)者的公鑰和身份信息，而公鑰對應的私鑰由開發(fā)者自行保存。

1.2.2　生成哈希值

從原理上來看，代碼簽名的對象應該是代碼文件或整個程序文件。然而，數(shù)字簽名采用非對稱加解密技術，而非對稱加解密技術的一大缺點便是對于大容量文件的執(zhí)行效率不高。據(jù)實驗測算，1 GB（1 024 MB）的文件加密需要1 分鐘，但是解密卻需要數(shù)十個小時，而目前應用軟件大小從幾十 MB 到幾千 MB 不等。因此，為了提高簽名效率，實踐中通常先將軟件進行哈希計算，以得到一個占用內存極少的哈希值，再對哈希值進行簽名。以 SHA256 哈希算法為例，任意文件大小的哈希值只有 64 個字節(jié)，從而顯著降低了計算需求。更重要的是，對哈希簽名和直接對軟件簽名起到的效果是一樣的。

1.2.3　使用私鑰進行簽名

開發(fā)者使用其私鑰對哈希值進行簽名，生成數(shù)字簽名，即簽名值。私鑰只有其開發(fā)者擁有，因此簽名值只能由開發(fā)者生成。

1.2.4　打包成安裝包

打包機制通常由操作系統(tǒng)廠商定義，所以操作系統(tǒng)廠商通常會給開發(fā)者提供對應的打包工具。在實踐中，不同操作系統(tǒng)的打包方式各不相同，個別操作系統(tǒng)不同版本之間的打包方式也不盡相同，但基本思路都是將數(shù)字證書和簽名值隨程序文件打包在一起，生成一個可以直接在操作系統(tǒng)中運行的安裝包。

1.2.5　驗證簽名

在執(zhí)行安裝之前，操作系統(tǒng)首先需要解開安裝包，按照自定義的打包方式逆向進行解包得到源程序文件（zip）、數(shù)字證書公鑰和簽名值（Signature），再對程序文件進行哈希運算得到 Hash（zip），接著利用數(shù)字證書中的公鑰解密簽名值得到 Decrypt（Signature），最后比對Hash（zip） 和 Decrypt（Signature）。如 果 二 者一致，則證明程序文件未被篡改，反之則證明文件已被篡改。除此之外，還可據(jù)此驗證數(shù)字證書的有效性和數(shù)字證書的身份等。

2 安卓代碼簽名技術的演進

安卓操作系統(tǒng)是一種基于Linux內核的自由、部分開源的操作系統(tǒng)。2008 年 9 月，谷歌發(fā)布Android 1.0 版本，截至目前已更新至 Android 14，其代碼簽名機制也升級演進了 4 個版本。

2.1 V1 簽名機制

在 Android 1.0 至 Android 6.0 版本階段，谷歌公司提供的簽名工具是 jarsigner，jarsigner 是 Java軟件開發(fā)工具包（Java Development Kit，JDK）提供的針對 jar 包簽名的通用工具，Android V1 版本簽名流程如圖 1 所示。

圖 1 Android V1 版本簽名流程

第一步，對每個代碼文件使用 SHA1 哈希算法計算得到哈希值，保存在 MANIFEST.MF 文件中。第二步，對 MANIFEST.MF 文件中的每個哈希值進行二級哈希算法（防止哈希碰撞），保存在 CERT.SF文件中。第三步，使用私鑰對 CERT.SF 文件進行簽名，將簽名值、數(shù)字證書保存在 CERT.RSA 文件中。第四步，將 MANIFEST.MF、CERT.SF 和 CERT.RSA 這3 個文件保存在 APK 安裝包的 META-INF 文件夾中。

這 種 最 初 的 簽 名 機 制 被 稱 為 Signature Scheme V1，簡稱 V1 簽名機制。V1 簽名機制存在兩個弊端：一是簽名校驗效率低，因為采用的方法是對每個文件進行哈希計算，APK 安裝包內代碼文件和資源文件較多，導致驗簽時間較長，影響安裝速度。二是安裝包容易被捆綁其他信息，因為 META-INF 目錄存放簽名和驗簽信息，本身對該文件夾不進行完整性保護，所以任何人可以在此文件夾內捆綁其他資源文件或直接刪除簽名和驗簽信息，影響驗證的準確性。

2.2 V2 簽名機制

從Android 7.0（API Level 24）開 始， 谷 歌增加了新簽名方案 Signature Scheme V2。V2 簽名 機 制 的 工 具 是 apksigner，apksigner 可 以 對APK 壓縮包的整個文件簽名，V2 簽名機制在原先 APK 壓縮包中增加了一個新的簽名塊 APK Signing Block，存儲了簽名值、哈希值、數(shù)字證書及一些額外屬性等信息，簽名后任何人不能修改安裝包，同時也提高了簽名驗簽的效率。具體前后結構對比如圖 2 所示。

圖 2 Android V2 版本簽名前后結構對比

V2 簽名機制相較于 V1 簽名機制更加安全高效，但只有 Android 7.0 及以上版本才支持驗證 V2 簽名。由于目前市面上仍存在一些版本較低的老機型，所以安卓開發(fā)者大多采用 V1和 V2 兩種模式相結合的方式進行打包。對于Android 7.0 及以上版本，在安裝過程中如果發(fā)現(xiàn)有 V2 簽名塊，則必須執(zhí)行 V2 簽名驗證機制，不能繞過。

2.3 V3 簽名機制

安卓系統(tǒng)發(fā)布至今已有十多年的歷史了。早期，一些開發(fā)者缺乏數(shù)字證書安全意識，由數(shù)字證書過期或私鑰保管不當導致的泄露問題時有發(fā)生，故更新數(shù)字證書的需求極為迫切。為了保證數(shù)字證書更新不影響已安裝應用的正常運行，谷歌在 Android 9.0（API Level 28）中引入了一種新的應用程序簽名機制，稱為 APK Signature Scheme V3。新版 V3 簽名機制在 V2 簽名機制的基礎上，仍然采用檢查整個壓縮包的校驗方式。不同的是在簽名部分增加了可以添加的新證書塊，在這個新塊中會同時記錄之前的簽名信息以及新的簽名信息，并以密鑰輪換的方案進行簽名的替換和升級。這意味著，只要擁有舊簽名證書，就可以通過它在新的 APK 文件中使用新的簽名證書對應用程序進行更新，且不影響用戶的正常使用。

2.4 V4 簽名機制

由于安卓終端種類的多樣化，應用軟件兼容性問題隨之出現(xiàn)。為了提高應用軟件的兼容性，開發(fā)者把各種終端類型資源依賴文件都打包在一起，導致安裝包的體積越來越大。然而，在實際使用過程中，很多文件是用不到的，因此這不僅影響軟件的安裝速度，還浪費用戶的下載流量，更是長期占用終端存儲空間。針對這一問題，谷歌在 Android 11（API Level 30）中提供了基于增量安裝的簽名方案 APK Signature Scheme V4，增量 APK 可以先安裝足夠的 APK以啟動應用，同時檢測終端運行環(huán)境，在后臺流式傳輸剩余的必要數(shù)據(jù)。該方案需要具備配套的能力和平臺，適用于大型的應用商店。

根據(jù)以上不同的簽名機制可以看出，開發(fā)者在打包 APK 安裝包時，可以根據(jù)實際需要選擇不同的代碼簽名機制。其中，V4 簽名機制是面向增量安裝需求的，V3 簽名機制是解決證書更新需求的。實際上，開發(fā)者如果沒有簽名變動的需求可以不考慮 V3 簽名，V2 和 V1 簽名即可滿足現(xiàn)有軟件需求，故目前國內大部分開發(fā)者是同時使用 V2 和 V1 簽名。

3 安卓代碼簽名的安全挑戰(zhàn)

前述內容表明，安卓移動軟件的代碼簽名機制能夠保護應用程序的完整性，簽名機制的不斷完善也提升了代碼簽名的安全性，且 V3 和V4 簽名機制能夠進一步從使用層面解決一些實際的問題。然而，整套簽名機制在面對唯利是圖的黑灰產、技術能力參差不齊的開發(fā)者、復雜多變的應用分發(fā)平臺和種類繁多的終端類型時仍存在一定的安全挑戰(zhàn)。

3.1　代碼簽名證書算法存在安全風險

目前安卓系統(tǒng)對代碼簽名證書的簽名算法密鑰長度要求在 1 024 位及以上，但對代碼簽名證書的摘要算法沒有做要求。為了方便起見，很多開發(fā)者在生成代碼簽名證書時將證書的有效期設置為 20 年以上。隨著信息技術的高速發(fā)展和密碼技術的不斷演進，十年前流行的算法目前已經存在很大的安全風險 。以國內某頭部應用軟件為例，其代碼簽名證書采用的是 1 024 位的RSA 簽名算法和 SHA1 哈希算法，如圖 3 所示。

圖 3　某應用軟件的代碼簽名證書

這些算法已經被權威機構認為存在安全風險或被企業(yè)宣布已經不再使用。例如，2011 年 2 月，國家密碼管理局在發(fā)文中明確指出，1 024 位RSA 算法正在面臨日益嚴重的安全威脅；2016 年1 月 1 日起，微軟 Edge 和 IE 11 不認為使用 SHA1證書的網(wǎng)站是安全的，所以不在瀏覽器的地址欄中顯示用來表示安全網(wǎng)站的掛鎖圖標；2017 年1 月 1 日起，Chrome 瀏覽器會自動將使用 SHA1簽名的任何 SSL 證書標記為不安全。除了 SHA1哈希算法，還有部分 APK 代碼簽名證書采用的是 MD5 哈希算法，但 MD5 算法早在 2004 年就被山東大學密碼學家王小云破解，是比 SHA1 更不安全的一種算法。

3.2　代碼簽名證書私鑰易被泄露

安卓代碼簽名證書私鑰是整個代碼簽名機制安全的關鍵。如果私鑰泄露，意味著黑客可以使用該私鑰生成惡意應用程序并偽裝成原始應用程序，進而實施各種攻擊。由于安卓代碼簽名證書是由開發(fā)者自行生成的，而絕大部分開發(fā)者缺少證書管理的相關經驗，因此易引發(fā)密鑰泄露或丟失的情況。一是保管證書時疏忽大意，將證書私鑰存儲在不安全的位置，很容易被他人復制竊取。二是軟件開發(fā)行業(yè)人員流動性較大，隨著研發(fā)人員的離職，證書私鑰也隨之被帶走。三是個別開發(fā)者為了簡化開發(fā)流程采用云平臺打包的模式，將證書私鑰托管保存在云平臺，這些云平臺的私鑰托管服務一般缺少密碼安全性評估，所以存在被他人竊取或越權使用的風險。上述這些行為都給代碼簽名帶來了一定的安全風險。

3.3　代碼簽名的軟件權責認定能力缺失

安卓代碼簽名雖然是安卓操作系統(tǒng)管控應用軟件的一種技術手段，但安卓系統(tǒng)在驗證代碼簽名時不會校驗代碼簽名證書的頒發(fā)機構，所以絕大部分開發(fā)者都使用自行生成的證書。但是，自己頒發(fā)的證書屬于無效證書或不被信任的證書，這就相當于開發(fā)者的代碼簽名證書是未經認證的、無效的。當應用軟件發(fā)生假冒侵權、惡意破解、違法違規(guī)等行為需要進行權責認定時，根據(jù)代碼簽名證書無法溯源和認定真實的開發(fā)者身份，開發(fā)者也無法自證身份，導致應用軟件權責不清，從而引發(fā)侵權糾紛、責任糾紛等問題。

3.4　代碼簽名的軟件防篡改能力減弱

谷歌代碼簽名工具 apksigner.jar 提供了代碼重簽的功能，其允許任何人直接將任意 APK 原有的簽名進行替換，即無須經過 APK 開發(fā)者的同意即可修改 APK 文件，而且針對此類行為也沒有任何校驗機制，給黑灰產留下了較大的操作空間。例如，通過反編譯手段修改 APK 源代碼或插入惡意代碼再簽名打包 ，對外宣稱是精簡版、破解版或免費版，實際是利用原應用軟件的品牌影響力騙取用戶下載安裝，以達到竊取用戶隱私或發(fā)布惡意廣告的目的。在實際開發(fā)過程中，部分安全意識較高的開發(fā)者會在APK 啟動程序中增加校驗代碼簽名一致性的代碼，如果 APK 被中間人篡改重簽，應用程序將無法正常啟動；抑或對代碼進行加固，從而提高 APK 被反編譯的難度。然而，隨著反編譯技術的不斷提高，黑灰產還是可以通過脫殼技術對加固后的 APK 進行反編譯，同時刪除 APK 中校驗代碼簽名的代碼以達到篡改的目的。

3.5　代碼簽名證書更新代價大

V3 簽名機制雖然支持代碼簽名數(shù)字證書的更新，但開發(fā)者在實際操作過程中還是面臨諸多問題。一方面，大部分應用商店審核應用更新包時，往往還是基于原安裝包的簽名校驗機制，如果開發(fā)者更新了代碼簽名證書，在發(fā)布更新包時則需要花費更多的時間和精力向這些應用商店進行證明代碼簽名證書已經更新這一事實。另一方面，目前市面上還有不少機型的版本還在 Android 9.0 以下，這些終端在安裝更新包時，由于無法直接覆蓋安裝，只能通過卸載原應用的方式重新安裝，這將導致用戶原有的應用數(shù)據(jù)丟失，影響用戶體驗。因此不到萬不得已，開發(fā)者不會輕易對代碼簽名證書進行更新。

4 應對措施

為應對當前移動應用軟件代碼簽名面臨的安全挑戰(zhàn)，我們將從產業(yè)標準、企業(yè)制度、監(jiān)管要求、關鍵主體責任、關鍵主體義務 5 個層面進行分析，并提出以下對策建議。

4.1　推動代碼簽名證書相關標準的制定和應用

算法是代碼簽名證書的安全基礎，代碼簽名證書的密鑰保管得再好，如果算法不安全，攻擊者還是可以利用算法漏洞計算出保管的密鑰。代碼簽名用到了密碼領域的相關技術，目前大部分開發(fā)者對于網(wǎng)絡安全有一定的認識，但對于密碼領域的相關技術較為陌生。信息通信行業(yè)、電信終端產業(yè)的協(xié)會等相關組織應推動行業(yè)制定代碼簽名證書相關標準。一是聯(lián)合安卓系統(tǒng)廠商、頭部應用軟件開發(fā)者和密碼服務廠商制定安卓應用軟件代碼簽名證書相關標準，明確代碼簽名證書的各項相關要求，包括但不限于代碼簽名證書的格式、證書有效期、證書唯一標識、證書其他屬性、簽名算法、密鑰長度、證書認證業(yè)務規(guī)則和證書策略等。二是在行業(yè)內宣貫代碼簽名標準，通過行業(yè)論壇、技術沙龍、開發(fā)者大會鼓勵和引導開發(fā)者執(zhí)行代碼簽名證書標準，選擇或者更新為安全可靠的算法，降低算法安全風險。三是開展標準驗證工作，對滿足相關安全要求的代碼簽名證書進行公示，帶動整個行業(yè)落實標準要求。

4.2　加強企業(yè)代碼簽名密鑰管理制度建設

代碼簽名證書密鑰是整個應用軟件安全的核心，不少企業(yè)的核心業(yè)務是通過應用軟件開展的，因此應用軟件出現(xiàn)安全問題極容易引發(fā)輿情，直接影響公司正常運行，甚至導致公司破產倒閉。應用軟件企業(yè)務必重視代碼簽名證書密鑰的安全性，加強密鑰的安全管理，在企業(yè)內部制定密鑰管理規(guī)范。一是明確企業(yè)密鑰管理崗位的職責要求，選擇具有網(wǎng)絡安全或密碼維護相關經驗的人員擔任密鑰管理員。對密鑰的生成、使用、更新、備份、恢復等重要操作采用雙人授權操作機制，留存操作日志記錄，禁止對密鑰進行復制，定期進行密鑰安全審計。二是采用具有商用密碼資質的產品存儲密鑰，并保障密碼產品的物理安全。加強密鑰的網(wǎng)絡安全管理，禁止未授權或通過互聯(lián)網(wǎng)訪問密鑰。三是定期開展密鑰安全性評估，及時發(fā)現(xiàn)密鑰安全威脅并提出解決方案，對正在使用的不安全算法的代碼簽名證書應盡早進行證書更新。

4.3　施行代碼簽名證書第三方認證

數(shù)字證書是具有密碼屬性的網(wǎng)絡身份證，在網(wǎng)絡世界中具有身份識別、數(shù)據(jù)完整性保護等安全功能。代碼簽名屬于電子簽名的范疇，2005 年，我國實施的《中華人民共和國電子簽名法》第二條明確了電子簽名的定義，是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數(shù)據(jù)。其中第十六條指出，電子簽名是需要第三方認證的，由依法設立的電子認證服務提供者提供認證服務 。2009 年，工業(yè)和信息化部令第 1 號《電子認證服務管理辦法》第十七條提到了電子認證服務的核心，是提供制作、簽發(fā)、管理電子簽名認證證書等服務。從以上法律法規(guī)可以看出，數(shù)字證書只有通過第三方電子認證服務機構簽發(fā)，才有可能具備合法網(wǎng)絡身份證的屬性，才能徹底解決應用軟件權責不清等問題。2016 年，工業(yè)和信息化部在《移動智能終端應用軟件預置和分發(fā)管理暫行規(guī)定》中提出，鼓勵移動智能終端應用軟件采用依法設立的電子認證服務機構頒發(fā)的數(shù)字證書進行簽名 [7]，說明主管部門已經認識到代碼簽名證書第三方認證的必要性。然而，實行第三方認證就意味著要收費，強制執(zhí)行顯然不符合國家“放管服”的相關要求。因此在施行第三方認證時，主管部門可以提供一些具有公益屬性的第三方認證機構，免費為開發(fā)者簽發(fā)代碼簽名數(shù)字證書。另外，隨著信息技術的不斷發(fā)展，部分商業(yè)第三方認證機構服務能力不斷提升，現(xiàn)階段簽發(fā)和維護數(shù)字證書的成本已經大幅降低，將來商業(yè)第三方認證機構可以通過其他增值服務進行收費，免費提供數(shù)字證書指日可待。

4.4　落實上架、安裝環(huán)節(jié)代碼簽名驗證

應用軟件由開發(fā)者打包成安裝文件進行發(fā)布后，安裝文件就不再受開發(fā)者管控，任何組織、個人都可以對其進行分析、修改、破解后再分發(fā)。只要不影響應用軟件的安裝和使用，用戶是無法得知應用軟件是否被篡改的。因此，應用軟件在應用商店上架和終端系統(tǒng)安裝這兩個重要環(huán)節(jié)需要落實代碼簽名的驗證，以確保應用軟件的完整性 。首先，應用軟件初次申請在應用商店上架時，應用商店應嚴格審核該應用軟件開發(fā)者的真實身份和驗證代碼簽名證書，確保應用軟件開發(fā)者身份和第三方代碼簽名證書身份的一致性，如果不一致則不允許上架。其次，終端系統(tǒng)在安裝應用軟件時同樣應驗證代碼簽名，驗證不通過的及時提醒用戶，確保應用軟件從開發(fā)到安裝整個過程中未被中間人篡改。當終端系統(tǒng)無法識別應用軟件的真實身份導致無法確認應用軟件開發(fā)者身份和第三方代碼簽名證書身份的一致性時，終端系統(tǒng)可通過終端云控平臺與自營應用商店或主管部門應用軟件備案系統(tǒng)、應用軟件溯源系統(tǒng)等聯(lián)動，獲取應用軟件的真實身份，確保終端系統(tǒng)能正常驗證代碼簽名。

4.5　提升產業(yè)下游代碼簽名驗證能力

從應用軟件產業(yè)鏈來看，應用軟件開發(fā)者處于產業(yè)上游，應用軟件發(fā)布后，需要經過應用商店檢測審核、終端廠商安裝驗證等階段，才能交予用戶使用。在代碼簽名方面，部分應用商店和終端廠商等下游廠商老舊的驗證方式制約著應用軟件開發(fā)者在代碼簽名方面的創(chuàng)新。為了保障用戶體驗，應用軟件開發(fā)者不敢使用新的技術更新已存在安全風險的代碼簽名證書，因此亟須提升下游代碼簽名驗證的能力。一是發(fā)揮行業(yè)檢測機構和認證機構的作用，在應用商店和終端系統(tǒng)安全能力測評方面增加代碼簽名驗證能力的要求。二是鼓勵頭部應用軟件企業(yè)敢于嘗試，倒逼應用商店和終端廠商升級代碼簽名驗證方式，從而提升代碼簽名驗證能力。

5 結　語

安卓應用軟件代碼簽名的風險已經成為移動互聯(lián)網(wǎng)產業(yè)不容忽視的安全問題之一。安卓生態(tài)屬于開放的生態(tài)，相較于封閉的生態(tài)，更需要產業(yè)界和主管部門共同協(xié)作。隨著云計算、量子計算、人工智能等新技術的不斷發(fā)展，安卓代碼簽名技術也將迎來新的風險挑戰(zhàn)。本文僅針對目前存在的風險挑戰(zhàn)提出應對措施，未來還需要結合新技術、新應用等產業(yè)實際情況，不斷提升代碼簽名的安全管控能力，維護代碼簽名的核心作用，營造一個安全可靠的生態(tài)環(huán)境，促進產業(yè)持續(xù)健康有序發(fā)展。

引用格式：宋愷 , 鄧佑軍 , 王浩仟 , 等 . 安卓應用軟件代碼簽名的風險挑戰(zhàn)與應對措施 [J]. 信息安全與通信保密 ,2023(9):36-44.
作者簡介 >>>
宋　愷，男，碩士，高級工程師，主要研究方向為電信和互聯(lián)網(wǎng)領域的監(jiān)管與安全政策；
鄧佑軍，男，學士，工程師，主要研究方向為商用密碼應用、電子認證、個人信息保護；
王浩仟，男，學士，工程師，主要研究方向為信息安全和個人信息保護；
張靜怡，女，學士，工程師，主要研究方向為信息安全和個人信息保護；
汪　海， 男， 學 士， 工 程 師，主要研究方向為信息安全和檢測認證。
選自《信息安全與通信保密》2023年第9期（為便于排版，已省去原文參考文獻）
重要聲明：本文來自信息安全與通信保密雜志社，經授權轉載，版權歸原作者所有，不代表銳成觀點，轉載的目的在于傳遞更多知識和信息。

相關閱讀：為什么代碼簽名證書都是“硬證書”?如何選擇代碼簽名證書?