Android .pfx Zertifikat

U

undertaker

Mitglied
Hallo,

mir liegt ein .pfx Zertifikat vor, welches meine Android-App benötigt um sich zu einem Server zu verbinden. Meine Frage lautet jetzt:

Wenn ich das Zertifikat "normal" installiere, welche Apps können es benutzen?
Bzw. ist es möglich das Zertifikat nur für eine App zugänglich zu machen?
 
schlingel

schlingel

Gesperrter Benutzer
Wenn ich das Zertifikat "normal" installiere, welche Apps können es benutzen?
Zum Vergrößern anklicken....
Für alle installierten.

Bzw. ist es möglich das Zertifikat nur für eine App zugänglich zu machen?
Zum Vergrößern anklicken....
Nein, nicht wirklich. Es ist theoretisch möglich, dass du das Zertifikat deinem APK beilegst, dann können andere Apps einmal nicht so einfach dieses Zertifikat verwenden. Du aber auch nicht, die einzige Möglichkeit die auch auf die Schnelle gefunden habe wäre mit native kompiliertem Code zu hantieren wie es die Library von Chilkat tut.

Problem an der Sache: Jeder der sich deine App als APK besorgt kann das Zertifikat ohne große Mühe extrahieren.
 
U

undertaker

Mitglied
Habe in dieser pdf etwas darüber gefunden (ab S. 292); die sagen etwas von einem eigenen Keystore für die App.

Könntest du mir darüber etwas sagen? Wäre damit sichergestellt das wirklich nur DIESE App das Zertifikat verwenden kann?
 
schlingel

schlingel

Gesperrter Benutzer
Wäre damit sichergestellt das wirklich nur DIESE App das Zertifikat verwenden kann?
Zum Vergrößern anklicken....
Wie gesagt, Nein. Jeder der an das APK rankommt, kann auch das Zertifikat extrahieren und dementsprechend damit tun was er will.

Zudem die in dem PDF vorgestellte Lösung sowieso nicht mit einem pfx funktioniert. Dazu müsstest du dieses in ein kompatibles Format umwandeln.
 
U

undertaker

Mitglied
Okay schade, dennoch ein paar mehr Fragen (aussgehend von der Lösung im PDF):

Könnten damit andere installierte Apps das Zertifikat auch benutzen?

Ist es möglich, dass z.B. durch bösartige Software das Zertifikat vervielfältigt wird?

Kommt man nur lokal an das APK ran oder könnten hier auch böse Apps das APK irgendwie vervielfältigen?

Danke schonmal :)
 
schlingel

schlingel

Gesperrter Benutzer
Ist es möglich, dass z.B. durch bösartige Software das Zertifikat vervielfältigt wird?
Zum Vergrößern anklicken....
Gute Frage. Dazu solltest du noch Experimente anstellen ob du bei installierten Apps auf die mitgebrachten Daten zugreifen kannst. Siehe auch diesen SO-Post dazu. Da in dem Post einige Leute davon berichten auf den apps-Ordner zugreifen zu können liegt das im Bereich des möglichen.

Könnten damit andere installierte Apps das Zertifikat auch benutzen?
Zum Vergrößern anklicken....
Normale Apps nicht. Bei Malware bin ich mir nicht sicher. Könnte sein, je nachdem was bei oben angestellten Experiment herauskommt. Dazu einfach nur eine Sample-App schreiben die ein Bild enthält. Dann versuchst du dieses Bild in einer zweiten App aus dem App-Ordner der ersten App anzuzeigen. Funktioniert das, kann man auch auf ein Zertifikat-File lesend zugreifen.

Kommt man nur lokal an das APK ran oder könnten hier auch böse Apps das APK irgendwie vervielfältigen?
Zum Vergrößern anklicken....
Das funktioniert anscheinend ohne Probleme. Siehe diese App: AppSender.
 
Ähnliche Java Themen
  Titel Forum Antworten Datum
A Android SocketIO mit eigenem Zertifikat Android & Cross-Platform Mobile Apps 12

Ähnliche Java Themen

Aktuelle Jobs

Neue Themen


Oben