Firma de aplicaciones APK en Android

por | octubre 21, 2014

FIRMA DE APLICACIONES (APK) – SISTEMAS OPERATIVOS

 

firma-de-aplicaciones-apk2

firma-de-aplicaciones-apk2

Las firmas de aplicación juegan un papel importante en la seguridad del dispositivo. Se utilizan para comprobaciones de permisos, así como las actualizaciones de software. Al seleccionar una clave a utilizar para aplicaciones de firma, es importante considerar si una aplicación sólo estará disponible en un solo dispositivo o común a través de múltiples dispositivos.

Para ello, considere lo siguiente:

  • Las aplicaciones no deben estar firmadas con una clave que se conoce públicamente.

 

  • Las teclas utilizadas para firmar las solicitudes deben ser manejados de una manera consistente con las prácticas estándar de la industria para el manejo de las teclas sensibles, incluyendo un HSM que proporciona un acceso limitado, auditable.

 

  • Las aplicaciones no deben ser firmadas con la clave de la plataforma. Las aplicaciones con el mismo nombre de paquete no deben estar firmados con diferentes claves. Esto ocurre a menudo cuando se crea una aplicación para diferentes dispositivos, especialmente cuando se utiliza la tecla plataforma. Si la aplicación es independiente del dispositivo, a continuación, utilizar la misma clave en todos los dispositivos. Si la aplicación es específica del dispositivo, crear nombres de paquetes únicos al dispositivo y clave.

 

Aplicaciones editorial

Google Play ofrece a los OEMs la capacidad de actualizar las aplicaciones sin realizar una actualización completa del sistema. Esto puede acelerar la respuesta a los problemas de seguridad y la entrega de nuevas características. Esto también proporciona una manera de asegurarse de que su aplicación tiene un nombre único del paquete.

 

  • Las aplicaciones deben ser subidas a Google Play para permitir actualizaciones automáticas sin necesidad de una (OTA) completo.

 

firma-de-aplicaciones-apk1

firma-de-aplicaciones-apk1

  • Los usuarios que alguna vez han instalado una aplicación de este tipo también deben poder instalar una y otra vez en sus otros dispositivos.

 

  • Para evitar posibles confusiones, las aplicaciones deben ser creadas con el nombre del paquete claramente asociada con su empresa, como por ejemplo mediante el uso de una marca de la empresa.

 

Aplicaciones publicadas por los fabricantes de equipos deben ser cargadas en la tienda de Google Play con el fin de evitar el nombre del paquete de suplantación por terceros usuarios. Si un OEM instala una aplicación en un teléfono sin publicarla en la tienda Play, otro desarrollador podría subir esa misma aplicación, utilizando el mismo nombre de paquete y cambiar los metadatos de la aplicación. Cuando se presentan al usuario, estos metadatos sin relación podrían crear confusión.

 

Respuesta a incidentes

Las partes externas deben tener la capacidad de ponerse en contacto con los fabricantes de equipos originales sobre temas de seguridad específicos del dispositivo. Recomendamos encarecidamente la creación de una dirección de correo electrónico de acceso público para la gestión de incidentes de seguridad.

 

Si usted se da cuenta de un problema de seguridad que afecta al sistema operativo o dispositivos Android de otros múltiples fabricantes de equipos originales, usted debe ponerse en contacto con el equipo de seguridad de del fabricante y Android

firma-de-aplicaciones-apk

firma-de-aplicaciones-apk

Otra información que te puede interesar aquí: ¿Como es el programa de seguridad para mis aplicaciones?

Resumen
Firma de aplicaciones APK en móviles en Android
Nombre Artículo
Firma de aplicaciones APK en móviles en Android
Descripción
La Firma de aplicaciones APKen Android es un tema muy importantes para la seguridad de la aplicación que se quiera desarrollar con total garantía para el usuario.
Autor

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *