如何检查apk包的签名(例如来自apkmirror)?
如何检查apk包的签名(例如来自apkmirror)?
提问于 2021-04-30 03:34:07
我知道如何check signatures of apk files,但不知道如何检查应用程序包(apkm)的可信度。有谁能给我个提示吗?
例如,当从apkmirror检查google相机捆绑包的签名时,它显示该捆绑包是由apkmirror签名的,而不是像预期的那样是由google签名的。
我想我可以简单地提取捆绑包中的apk文件并验证它们的签名(然后我就会得到一个google签名,就像预期的那样)。但这并不适用于所有的base.apk:“apk”没有签名。这是有原因的吗?base.apk的签名是否可能以某种方式包含在其他签名中?
编辑:读完Pierres answer后,我发现base.apk确实也是有签名的。我的问题是ubuntu 18.04中的apksigner版本已经过时,不支持使用的签名格式。
回答 1
Stack Overflow用户
回答已采纳
发布于 2021-05-01 17:16:16
所有的APK都应该有一个签名,包括基础。确保使用apksigner而不是jarsigner。
没有办法检查签名人是谁。证书包含一些信息,但它很容易被欺骗,因此它是不可靠的。
你必须信任你下载APK的来源,最好的方法通常是询问开发人员他们在哪里发布他们的应用程序并从那里下载。对于Google应用程序来说,这就是Play Store。
如果您知道应用程序应该使用的证书,您还可以将签名中的证书与您期望的证书进行比较。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/67323982
复制相关文章
相似问题
腾讯云开发者
