Android 证书签名和应用名称
Android Certificate Signature & App name
我正在使用 Java (J2SE) 创建桌面应用程序。它有一个功能,可以检查两个未知的 .apk 文件(例如 app1.apk 和 app2.apk)是否是同一个应用程序或不。我的想法是比较两个应用程序的指纹(在文件 META-INF/CERT.RSA 中)和名称。
- 通过使用 keytool (cmd: keytool -printcert -file .\META-INF\CERT.RSA),我可以在 CERT.RSA 中获取签名的元信息文件。但是我无法使用 java 源代码获取这些信息。
- 我也尝试使用 openssl 来获取信息,同样我无法在我的源代码中包含这些信息来比较两个 android 应用程序的指纹。
- 通过使用正常Java,我不知道如何提取文件CERT.RSA中的指纹。
此外,我还想获取文件strings.xml中定义的android应用名称。特别是,我首先阅读了 AndroidManifest.xml,在标签 application 中,我得到了属性 [=60 的值=]:label="@string/app_name"。然后我在文件 strings.xml 中获取属性 app_name 的值。然而,该文件被编译成文件resources.arsc,这是一个不可读的二进制文件。
这个想法的任何解决方案或检查两个未知 .apk 文件是否是同一个应用程序的任何其他想法?非常感谢您的帮助。
谢谢
程序包名称作为应用程序的唯一标识符。
所以基本上引用同一个应用程序的 2 个 apk 将具有相同的包名。
那么这些 apk 中的一个可能以某种方式损坏了,例如:
- 签名文件丢失-不一致
- public 密钥文件丢失-不一致
- CERT.SF 中文件条目摘要的计算不匹配(对于列出的一个或多个文件)
- CERT.SF 文件摘要(在文件开头)与其自身摘要的计算不匹配
如果您想确定其中一个应用程序未被第 3 部分修改,则必须执行上述所有这些检查。
然后总结一下确定2个apks是否是同一个官方应用程序的整个事情:
- 包名必须相同
- public键必须相同
- CERT.SF 中列出的文件摘要的计算必须与同一 CERT.SF 文件中的文件条目摘要相匹配
- 文件 CERT.SF 摘要的计算必须与 CERT.SF 自己的摘要相匹配
CERT.SF 如果 apk 引用具有不同版本(添加或删除的文件)的同一个应用程序,则
CERT.SF 不一定相同,但 public key/private 密钥对必须保持不变才能启用更新这个应用程序的(除非它会导致“签名冲突”或“现有包已经存在”错误)
使用Java
检查签名验证
您可以为此使用 JarSigner 源代码:http://grepcode.com/file/repository.grepcode.com/java/root/jdk/openjdk/6-b14/sun/security/tools/JarSigner.java#JarSigner.signatureRelated%28java.lang.String%29
使用外部 jar 库 sun-security-tool :http://www.java2s.com/Code/Jar/a/Downloadandroidsunjarsignsupport11jar.htm
检查public键是否相同
比较提取的 public 密钥。这是我从中提取 PKCS7 证书和 public 密钥的方法:
/**
* Retrieve public key from PKCS7 certificate
*
* @param certPath
* @return
* @throws IOException
* @throws InvalidKeySpecException
* @throws NoSuchAlgorithmException
*/
public static String getPublicKey(String certPath) throws IOException, InvalidKeySpecException, NoSuchAlgorithmException {
File f = new File(certPath);
FileInputStream is = new FileInputStream(f);
ByteArrayOutputStream buffer = new ByteArrayOutputStream();
int nRead;
byte[] data = new byte[16384];
while ((nRead = is.read(data, 0, data.length)) != -1) {
buffer.write(data, 0, nRead);
}
buffer.flush();
PKCS7 test = new PKCS7(buffer.toByteArray());
X509Certificate[] certs = test.getCertificates();
for (int i = 0; i < certs.length; i++) {
if (certs[i] != null && certs[i].getPublicKey() != null) {
return new BASE64Encoder().encode(certs[i].getPublicKey().getEncoded());
}
}
return "";
}
从 Android 清单中读取包名
这里你必须解析 Android 二进制 XML 来提取这些信息。有了这个 link,你就有了很多可以使用的工具(和代码片段):
How to parse the AndroidManifest.xml file inside an .apk package
要获取您的应用程序名称,这有点不同,这是一个 Android 编译资源。 apktool 可以解码此类文件,但如果您想在 java 中执行此操作,则必须自己解码。这是 apktool 解码器 https://github.com/iBotPeaches/Apktool/blob/master/brut.apktool/apktool-lib/src/main/java/brut/androlib/ApkDecoder.java。但是,如果您想要应用程序名称,则在 string.xml 中没有必要,因此这是您想要做的具体事情。
我制作了一个Java工具来进行jar验证/public密钥比较:https://github.com/bertrandmartel/apk-checker
使用Bash
使用命令行,您可以更快更轻松地测试输出:
检查签名验证
jarsigner -verbose -verify <your_apk_file_name>.apk | grep "jar verified"
检查public键是否相同
unzip -p <your_apk_file_name1>.apk META-INF/CERT.RSA | keytool -printcert
检查包名是否相同
aapt d xmltree <your_apk_file_name1>.apk AndroidManifest.xml | grep "package=" | sed -e "s/.*=//g" | sed -e "s/ .*//g"
Bash 脚本的要点位于 https://gist.github.com/bertrandmartel/374564b950e8a577550b
我正在使用 Java (J2SE) 创建桌面应用程序。它有一个功能,可以检查两个未知的 .apk 文件(例如 app1.apk 和 app2.apk)是否是同一个应用程序或不。我的想法是比较两个应用程序的指纹(在文件 META-INF/CERT.RSA 中)和名称。
- 通过使用 keytool (cmd: keytool -printcert -file .\META-INF\CERT.RSA),我可以在 CERT.RSA 中获取签名的元信息文件。但是我无法使用 java 源代码获取这些信息。
- 我也尝试使用 openssl 来获取信息,同样我无法在我的源代码中包含这些信息来比较两个 android 应用程序的指纹。
- 通过使用正常Java,我不知道如何提取文件CERT.RSA中的指纹。
此外,我还想获取文件strings.xml中定义的android应用名称。特别是,我首先阅读了 AndroidManifest.xml,在标签 application 中,我得到了属性 [=60 的值=]:label="@string/app_name"。然后我在文件 strings.xml 中获取属性 app_name 的值。然而,该文件被编译成文件resources.arsc,这是一个不可读的二进制文件。
这个想法的任何解决方案或检查两个未知 .apk 文件是否是同一个应用程序的任何其他想法?非常感谢您的帮助。
谢谢
程序包名称作为应用程序的唯一标识符。
所以基本上引用同一个应用程序的 2 个 apk 将具有相同的包名。
那么这些 apk 中的一个可能以某种方式损坏了,例如:
- 签名文件丢失-不一致
- public 密钥文件丢失-不一致
- CERT.SF 中文件条目摘要的计算不匹配(对于列出的一个或多个文件)
- CERT.SF 文件摘要(在文件开头)与其自身摘要的计算不匹配
如果您想确定其中一个应用程序未被第 3 部分修改,则必须执行上述所有这些检查。
然后总结一下确定2个apks是否是同一个官方应用程序的整个事情:
- 包名必须相同
- public键必须相同
- CERT.SF 中列出的文件摘要的计算必须与同一 CERT.SF 文件中的文件条目摘要相匹配
- 文件 CERT.SF 摘要的计算必须与 CERT.SF 自己的摘要相匹配
CERT.SF 如果 apk 引用具有不同版本(添加或删除的文件)的同一个应用程序,则
CERT.SF 不一定相同,但 public key/private 密钥对必须保持不变才能启用更新这个应用程序的(除非它会导致“签名冲突”或“现有包已经存在”错误)
使用Java
检查签名验证
您可以为此使用 JarSigner 源代码:http://grepcode.com/file/repository.grepcode.com/java/root/jdk/openjdk/6-b14/sun/security/tools/JarSigner.java#JarSigner.signatureRelated%28java.lang.String%29
使用外部 jar 库 sun-security-tool :http://www.java2s.com/Code/Jar/a/Downloadandroidsunjarsignsupport11jar.htm
检查public键是否相同
比较提取的 public 密钥。这是我从中提取 PKCS7 证书和 public 密钥的方法:
/**
* Retrieve public key from PKCS7 certificate
*
* @param certPath
* @return
* @throws IOException
* @throws InvalidKeySpecException
* @throws NoSuchAlgorithmException
*/
public static String getPublicKey(String certPath) throws IOException, InvalidKeySpecException, NoSuchAlgorithmException {
File f = new File(certPath);
FileInputStream is = new FileInputStream(f);
ByteArrayOutputStream buffer = new ByteArrayOutputStream();
int nRead;
byte[] data = new byte[16384];
while ((nRead = is.read(data, 0, data.length)) != -1) {
buffer.write(data, 0, nRead);
}
buffer.flush();
PKCS7 test = new PKCS7(buffer.toByteArray());
X509Certificate[] certs = test.getCertificates();
for (int i = 0; i < certs.length; i++) {
if (certs[i] != null && certs[i].getPublicKey() != null) {
return new BASE64Encoder().encode(certs[i].getPublicKey().getEncoded());
}
}
return "";
}
从 Android 清单中读取包名
这里你必须解析 Android 二进制 XML 来提取这些信息。有了这个 link,你就有了很多可以使用的工具(和代码片段):
How to parse the AndroidManifest.xml file inside an .apk package
要获取您的应用程序名称,这有点不同,这是一个 Android 编译资源。 apktool 可以解码此类文件,但如果您想在 java 中执行此操作,则必须自己解码。这是 apktool 解码器 https://github.com/iBotPeaches/Apktool/blob/master/brut.apktool/apktool-lib/src/main/java/brut/androlib/ApkDecoder.java。但是,如果您想要应用程序名称,则在 string.xml 中没有必要,因此这是您想要做的具体事情。
我制作了一个Java工具来进行jar验证/public密钥比较:https://github.com/bertrandmartel/apk-checker
使用Bash
使用命令行,您可以更快更轻松地测试输出:
检查签名验证
jarsigner -verbose -verify <your_apk_file_name>.apk | grep "jar verified"
检查public键是否相同
unzip -p <your_apk_file_name1>.apk META-INF/CERT.RSA | keytool -printcert
检查包名是否相同
aapt d xmltree <your_apk_file_name1>.apk AndroidManifest.xml | grep "package=" | sed -e "s/.*=//g" | sed -e "s/ .*//g"
Bash 脚本的要点位于 https://gist.github.com/bertrandmartel/374564b950e8a577550b