我需要查看谁签署了我已安装到我的设备上的应用程序。这通常可以在设备上还是在 PC 上进行?
【问题讨论】:
标签: android certificate signature apk
(假设您可以获得对原始 apk 文件的访问权限 - 如果您知道或对其名称和位置做出有根据的猜测,您通常可以访问,即使您无法在非 -根电话)
您可以将 apk 作为 zip 文件打开并从 META-INF/CERT.RSA 的二进制内容中过滤 ascii 文本
或使用实际工具,
jarsigner -verify -certs -verbose some_application.apk
当然,验证签名者是他们声称的身份的唯一方法是通过直接或经过验证的方式从该方获取使用相同密钥签名的其他内容,并比较签名密钥指纹 - 这就是 Android 本身验证的方式应用升级和应用 ID 共享与他们针对的现有 APK 来自同一方。
【讨论】:
X.509, CN=Android, OU=Android, O=Google Inc., L=Mountain View, ST=California, C=US [certificate is valid from 22-08-08 01:13 to 08-01-36 00:13] [CertPath not validated: Path does not chain with any of the trust anchors]。我如何获得 Google 证书以验证他们确实是签名者。 (我认为添加到此回复中是相关的,但如果您希望我发布一个单独的问题,请告诉我。)
来自Getting certificate details from an apk,可以使用以下命令
openssl pkcs7 -inform DER -in CERT.RSA -noout -print_certs -text
【讨论】: