Android 的 APK 使用自签名证书好烦

2017-02-09 22:03:22 +08:00
 Osk

很久没用 android 了,鉴于 wp 已经没有下文,最近开始用 android 备机。今天下载 apk 时遇到了怪事。

在 coolapk 上下载了 bluegogo 的 apk ,然后发现官方网站上也有 https 的下载链接,结果 coolapk 的下载链接 SmartScreen 报告不安全(微软管得真宽...),然后安装了 coolapk 上的后,官方的装不上,具体错误系统没有说明,但卸载 coolapk 上的后,安装官网下载的可以安装使用。猜测就是两者签名不一致, 但手边暂时没有工具验证。

然后发现,先安装官网的 apk ,再安装 coolapk 下载的 apk ,居然装上了,反过来不行

coolapk 上面的下载链接经过一个 302 最终跳转到:

http://uc1-apk.wdjcdn.com/2/d8/d828531e08226b7134e036a667111d82.apk

官网的下载链接:

https://static.bluegogo.com/static/apk/app-bgg-release.apk

听说 Android 有个 Masterkey 漏洞,不知道我是不是遇到了?!系统是 kitkat 又联想到很久之前某应用助手更新的一个 apk ,把系统的音乐应用(厂家自己开发的应用)都给替换了...

#烦的原因

  1. 部分 app 市场没有使用 ssl ,然后下载链接被跳转到一些奇奇怪怪的服务器。以前也觉得没什么,可有一次下载一个 exe ,官方是有数字签名的但无 https ,最后下载的文件不知道是什么东西,反正没有数字签名,也没敢安装。

  2. 就算有 ssl ,也不敢保证这个 apk 是官方发布的。 windows 的数字签名的话,可以直接看到二进制文件的签名证书链。而 apk 虽然可以使用 jarsigner 看证书,但 android 本身似乎没有办法方便地看 apk 的证书(可能有但我不知道),而且 apk 可以使用自签名的证书,方便开发者,但是要验证是不是“正版”就麻烦了。

正常情况下在 play store 下载倒没什么,但是没有 play 从第 3 方下载就蒙了。 最后,还是微软大法好啊,不用管 http 带不带 s ,反正最后没有数字签名的程序我都不直接运行的。

7937 次点击
所在节点    Android
6 条回复
winterbells
2017-02-09 22:48:16 +08:00
=。=
Tony2ee
2017-02-09 23:18:40 +08:00
/go/however/
Osk
2017-02-09 23:32:51 +08:00
@Tony2ee 然而 Apk 签名证书确实不方便验证啊
BROWNURSIDAE
2017-02-10 02:57:47 +08:00
酷安有 360cdn 哒
lfk0000
2017-02-10 09:11:58 +08:00
用幸运破解器核心破解下就可以无视签名无视版本随意安装了
最好再用 Xposed 的 XInstaller 就可以后台静默安装、卸载了。。。
cos
2017-02-10 13:13:18 +08:00
coolapk 的下载链接真的很杂乱,估计是他们服务器带宽和流量的原因,加上运营商的劫持,我觉得那些吹捧酷安的可以歇了,国内根本没啥特别良心可靠的 app 市场。

最搞笑是酷市场 7.3.2 的官网下载链接,直接点击的话,居然是跳到腾讯的应用宝去下载的,下载回来的也确实是酷市场。然后我查看网页源码,直接从 https://dl.coolapk.com/down?pn=com.coolapk.market 下载,也是跳转到腾讯去下载,再用 wget 下载这链接,报 400 错误,然后我翻 墙到美国再下载这个链接,服务器 ip 仍然是腾讯的,可见 coolapk 官方就是这么配置的,根本不是因为运营商劫持。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/339416

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX