İndirdiğim bir APK dosyasının orijinalliğini nasıl doğrulayabilirim?

Ülkemde Google Haritalar’ın en son güncellemesi kullanılamıyor, bu yüzden "Google Haritalar 5.4.0 apk" için Google tarafından bir sürüm indirdim. Aslında onu buldum ama şimdi bunun piyasadakiyle aynı sürüm olup olmadığını nasıl anlayabileceğimi merak ediyorum.

Tahrif edilmediğinden nasıl emin olabilirim? Uygulamalar herhangi bir şekilde imzalandı mı? İmzaları kontrol etmenin bir yolu var mı?

Bu uygulamayı telefonunuza yükleme meşruiyeti konusundaki tartışmayı ortadan kaldırırken, doğrulama sorusu bir süredir anlamayı istediğim bir konudur ve benden kimin imzaladığını doğrulamanın yolunu bulmaya çalışmamı istediniz. Bir apk.

Android uygulamaları (.apk gerçekten sadece özel bir .zip sadece özel bir .jar olan) ancak önemsiz olmayabilir .jar dosyaları normal şekilde imzalanır iz bir şey için iyi bilinen sürece sertifikaların doğruluğunu karşılaştırmak. Telefonun kendisi de temelde böyledir - telefonda zaten bir kişiyle aynı partiden olduğunu iddia eden bir şeyin gerçekte olduğunu doğrular - telefon bilinmeyen imzalı bir şeyleri yüklemeyi reddetmez, sadece () verileri, yeni bir şeyin iddia ettiği eski bir şeyle eşleşmediği zaman görünürde sahtecilik yapar.

Jarsigner ve keytool'a ihtiyacınız olacak. Bunların, SDK'nın kendisinden ziyade android SDK'nın ön şartı olan JDK'dan geldiğine inanıyorum.

İlk önce, .apk içinde yer alan ortak anahtarı doğrulamaya çalışın. Genellikle bu META-INF / CERTS.RSA içindedir, ancak başka bir dosyada olabilir - unzip -l size söyleyecektir. Bu konuda ne bulabileceğini görmek istiyorsun:

unzip -p suspect.apk META-INF/CERT.RSA | keytool -printcert

Bu, imzalayanın kim olduğunu iddia ettiği hakkında birçok bilgi bırakacak. Bazı sertifikaların görünüşte bilinen taraflarca imzalanmış olmasına rağmen, bunun nasıl izleneceğine karar vermeden, böyle bir şey yapabileceğinden şüpheleniyorum:

unzip -p suspect.apk META-INF/CERT.RSA | keytool -printcert | grep MD5
unzip -p knowngood.apk META-INF/CERT.RSA | keytool -printcert | grep MD5

Bilinen güvenilir bir apk varsa, aynı sertifikayı kullanan aynı yazardan. Aynı MD5 toplamına sahip olan sertifikaların yeterli olduğunu farz ediyorum.

Sertifikaya güvenmeye karar verdiğinizi varsayarak, .apk içindeki her bir dosyayı imzalamak için kullanılmış olup olmadığını görebilirsiniz.

jarsigner -verbose -verify suspect.apk

(Arşivde birden fazla .RSA dosyası varsa, her dosyayı imzalamak için hangi sertifikaların kullanıldığını size bildirmek için -certs bayrağını eklemelisiniz, böylece onayladığınız sertifikanın olduğundan emin olabilirsiniz)

İstediğinizi yapan bir apksigneraraç var (şimdi) build-tools. Gönderen docs :

APK'nin imzalarının, APK'nin desteklediği tüm Android platformlarında geçerli olduğu doğrulanıp doğrulanmadığını kontrol edin:

apksigner verify [options] app-name.apk

APK'yi ücretsiz VirusTotal.com virüs denetleyicisine yüklemeyi de deneyebilirsiniz . APK için benzersiz bir karma üretecektir ve eğer diğerleri test etmek için yükledilerse (büyük olasılıkla) o zaman APK'nın geçerli olduğu hakkında daha fazla fikre sahip olacaksınız.

Servis ayrıca APK’yı 60’ın üzerinde virüs tarayıcısıyla tarayacak ve daha önce bulunan virüslere benzer imzaları olup olmadığına inanıp size haber verecek.

Şüpheli bir apk dosyasındaki sertifikaları karşılaştırmak için belki de bir fikir, telefonunuzdaki resmi Google Play Store'daki sürümünü indirmek, bilgisayarınızda bir yedekleme yapmak ve yedekleme dizinine gitmek, ilgili apk dosyasını seçmek ve aynı kontrolleri yapmaktır. Aygıtın varsayılan uygulamasında yapılan kontrolleri yaparak Google sertifikalarını da görüntüleyebilirsiniz (herhangi bir com.google.android gibi. * Apk)