如何检查手机上的 App 是不是正版？

作者 | Aditi Bhatnagar

译者 | 苏本如，责编 | 郭芮

头图 | CSDN 下载自视觉中国

出品 | CSDN（ID：CSDNnews）

以下为译文：

仔细看看你的安卓手机上的应用程序，你如何确保它们都是正版的？也就是说，你如何确保你手机上的Instagram应用是正版程序，而不是复制的或假冒的。

当你在网上冲浪的时候，你可以尝试找出一个网站是否是真实的。对于网站而言，我们有证书、有安全锁标志、有完整的URL等等，这些可以帮助我们知道网站是真实的和安全的。那么，对于所有的安卓应用程序而言，我们是否也有一个等效的、可以帮助我们识别的东西呢？

作为一个安卓手机的用户，当我转到“设置/应用程序信息”时，我只能看到下面这些：

你应该注意到，没有一个直接的方法可以检查应用程序的真实性。对于从谷歌应用商店（Google play store）中安装的应用程序，我们确实可以看到一个链接指向该应用程序在谷歌应用商店的地址，但是除此以外，我们找不到任何其他信息或者一些有效性的证明。

那么，如何可靠地检查应用程序的真实性呢？同时，安卓应用程序如何检查同一设备上的、和它们协同工作或交换信息的其他应用程序的真实性呢？

答案是：签名证书信息。

出于安全方面的考虑，安卓系统上的所有应用程序在部署到应用商店之前都需要正式地签名。

所以，在了解了为什么我们需要应用程序的签名之后。我们将在本文深入探讨下列问题：什么是应用程序签名？如何才能实现它？以及它如何保证应用程序的真实性？

什么是应用程序签名？

应用程序签名是在操作系统的最内部实现的。

根据安卓官方提供的文档：

“应用程序签名允许开发人员识别应用程序的作者，并且允许他们在无需创建复杂的接口和获得许可的情况下，更新其应用程序。这样，开发人员就知道他们的应用程序是未经修改地提供给安卓设备使用的；并且开发人员可以对其应用程序的行为负责。”

在安卓系统上，应用程序签名是将应用程序放入其应用程序沙盒的第一步。签名的应用程序证书定义了哪个用户ID与哪个应用程序相关联；不同的应用程序在不同的用户ID下运行。应用程序签名确保一个应用程序不能访问任何其他应用程序，除非通过定义良好的IPC

如何实现应用程序签名？

安卓提供了使用自签名证书的代码签名方法，开发人员可以在没有外部帮助或许可的情况下生成这些证书。证书的申请不需要一个中央机构来签署批准。

安卓系统支持三种应用程序签名方案：

v1方案：基于 JAR 签名

这个方案是基于签名的JAR包。这里要注意的是：v1签名方案并不会保护APK内的所有文件，会存在一些例外部分，这些部分即便被修改也不会导致签名失效，比如ZIP元数据。APK验证器需要处理大量不受信任（尚未验证）的数据结构，然后丢弃签名未涵盖的数据。这提供了一个相当大的攻击面。此外，APK验证器必须解压缩所有的压缩条目，从而消耗更多的时间和内存。为了解决这些问题，安卓7.0引入了APK签名方案v2。

v2方案：亦即APK签名方案v2，在Android 7.0中引入。

v3方案：亦即APK签名方案v3，在Android 9中引入。

运行安卓7.0及更高版本的设备支持APK签名方案v2（亦即v2方案）和它的更高版本。（在Android P中，v2方案被更新为v3方案，以支持在签名块中包含附加信息，但在其他情况下也一样。）。v2方案对APK的内容进行散列和签名，然后将生成的APK签名块插入APK中。

应用程序可以非常简单地通过Android Studio的选项或命令行进行签名。

打开Android Studio，进入Build > Generate Signed APK。

你可以按照下文中的步骤进行操作，来生成一个签名密钥：https://developer.android.com/studio/publish/app-signing#sign-apk。

当你可以选择谷歌应用商店对你的应用的每一个版本进行签名时，你有很多选择。详情请参照上面的链接。

生成密钥并查看其内容的简单命令分别如下：

生成秘钥：

keytool -genkey -v -keystore <keystorealias> -storepass <keyStorePassword> -alias <keyAlias> -keypass <keyPassword>  -keyalg RSA -keysize 2048 -validity 30000

查看秘钥：

keytool -list -v -keystore <keystorealias> -alias <keyAlias> -storepass <keyStorePassword> -keypass <keyPassword>

备注：你需要用实际值替换上面尖括号里的变量。根据你的应用程序的实际需要，设置生成密钥、密钥大小和有效日期（以天为单位）的算法需要提供的值。

此外，还可以使用APKSigner和ZipAlign工具来检查，这些工具很方便（本文将不讨论它们，但是它们非常值得探讨）。

如何通过代码检查应用程序签名信息？

下面的代码可以用来检查应用程序签名信息：

public boolean validateAppSignature(Context context)  throws NameNotFoundException {
PackageInfo packageInfo = context.getPackageManager().getPackageInfo(getPackageName(), PackageManager.GET_SIGNATURES);
//note sample just checks the first signature
for (Signature signature : packageInfo.signatures) 
{ // SHA1 the signature
String sha1 = getSHA1(signature.toByteArray());
// check is matches hardcoded value
return APP_SIGNATURE.equals(sha1);}
return false;}

当一个应用程序（APK文件）被安装到安卓设备上时，包管理器将验证APK文件是否已经使用该APK中包含的证书正确地签名。如果证书（或者更准确地说，证书中的公钥）与用于在设备上签署任何其他APK的密钥匹配，则新APK可以在清单中指定它将与其他类似签名的APK共享UID。

如果设备上的私有签名密钥丢失，会出现什么情况？

这将导致旧的应用程序无法更新！这种情况下，它将生成一个新的包名&一个新的证书。比如说：

Authenticator应用程序是一个身份验证程序，这个应用程序的一个私有应用程序签名密钥丢失或受损，因为在几年前的一次更新中，它的软件包名称从com.google.android.apps.authenticator被更改为com.google.android.apps.authenticator2。由于此更改，所有后续的Authenticator应用程序更新只能以新的程序包名称发布，并且使用由新的专用签名密钥生成的新签名。

不过，最近谷歌公司也增加了对“rolling key”的支持，这可能会在有这种麻烦的情况下为开发者节轻一点压力。

以上所有这些内容供你参考，希望你能从中获得一些帮助。签名是一个至关重要的场景，需要深入了解才能理解安卓系统的整体安全状况。

原文：https://hackernoon.com/how-to-check-whether-the-mobile-app-on-your-phone-is-authentic-or-not-j9gt32lw

本文为 CSDN 翻译，转载请注明来源出处。

【END】