【问题标题】:How can one check the signature of a apk bundle (e.g from apkmirror)?如何检查 apk 包的签名(例如来自 apkmirror)?
【发布时间】:2021-04-29 19:34:07
【问题描述】:

我知道如何check signatures of apk files,但不知道如何检查应用程序包 (apkm) 的可信度。有人给我提示吗?

例如,当检查来自 apkmirror 的 google 相机包的签名,它表明该包是由 apkmirror 签名的,而不是 - 正如预期的那样 - 由 google。

我发现我可以简单地提取捆绑包中的 apk 文件并验证它们的签名(然后我得到一个谷歌签名,如预期的那样)。不过,这不适用于所有 apk:“base.apk”没有签名。是否有一个原因? base.apk 的签名是否可能以某种方式包含在其他签名中?

编辑:阅读 Pierres 的回答后,我发现 base.apk 确实也已签名。我的问题是 ubuntu 18.04 中的 apksigner 版本已经过时,不支持使用的签名格式。

【问题讨论】:

    标签: android android-app-bundle


    【解决方案1】:

    所有 APK 都应该有一个签名,包括基础。确保您使用的是 apksigner 而不是 jarsigner。

    无法检查签名的人是谁。该证书包含一些信息,但很容易被欺骗,因此不可靠。

    您基本上必须信任您下载 APK 的来源,最好的方法通常是询问开发人员他们在哪里发布应用并从那里下载。对于 Google 应用,这就是 Play 商店。

    如果您知道应用程序应使用的证书签名,您还可以将签名中的证书与您期望的证书进行比较。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2021-03-09
      • 1970-01-01
      • 2011-10-28
      • 2011-07-31
      相关资源
      最近更新 更多