java - Android 证书签名和应用程序名称

Question

我正在使用 Java (J2SE) 创建桌面应用程序。它具有检查两个未知 .apk 文件(例如 app1.apk 和 app2.apk)是否是同一应用程序的功能。我的想法是比较两个应用程序的指纹(在文件 META-INF/CERT.RSA 中)和名称。

• 通过使用keytool(cmd:keytool -printcert -file .\META-INF\CERT.RSA)，我可以获取CERT.RSA文件中签名的元信息。但是我无法通过使用java源代码获取这些信息。
• 我还尝试使用openssl来获取信息，同样，我无法将这些信息包含在我的源代码中来比较两个Android应用程序的指纹。
• 通过使用普通的Java，我不知道如何提取文件CERT.RSA中的指纹。

此外，我还想获取文件strings.xml中定义的Android应用程序名称。特别是，我首先阅读了 AndroidManifest.xml，在标签 application 中，我获取了属性 android:label="@string/app_name" 的值。然后我获取文件 strings.xml 中属性 app_name 的值。然而，该文件被编译在文件 resources.arsc 中，这是一个不可读的二进制文件。

这个想法的任何解决方案或检查两个未知的 .apk 文件是否是同一个应用程序的任何其他想法？我非常感谢您的帮助。
谢谢

Answer 1

包名称用作应用程序的唯一标识符。

所以基本上引用同一个应用程序的 2 个 apk 将具有相同的包名称。

那么可能这些 apk 之一已损坏，例如:

• 签名文件丢失且不一致
• 公钥文件丢失 - 不一致
• CERT.SF 中文件条目摘要的计算不匹配(对于列出的一个或多个文件)
• CERT.SF 文件的摘要(位于文件开头)与其自身摘要的计算不匹配

如果您想确保其中一个应用程序没有被第三部分修改，您将必须执行上面的所有这些检查。

然后总结一下确定 2 个 apk 是否是同一个官方应用程序的整个过程:

• 包名必须相同
• 公钥必须相同
• 计算 CERT.SF 中列出的文件摘要必须与同一 CERT.SF 文件中的文件条目摘要匹配
• 文件CERT.SF摘要的计算必须与CERT.SF自己的摘要匹配

如果 apk 引用不同版本的同一应用程序(添加或删除的文件)，则 CERT.SF 不一定相同，但公钥/私钥对必须保持不变才能更新此应用程序(除非会导致“签名冲突”或“现有包已存在”错误)

<小时/>

使用 Java

检查签名验证

您可以为此使用 JarSigner 源代码:http://grepcode.com/file/repository.grepcode.com/java/root/jdk/openjdk/6-b14/sun/security/tools/JarSigner.java#JarSigner.signatureRelated%28java.lang.String%29

使用外部 jar lib sun-security-tool :http://www.java2s.com/Code/Jar/a/Downloadandroidsunjarsignsupport11jar.htm

检查公钥是否相同

比较提取的公钥。这是我从中提取 PKCS7 证书和公钥的方法:

/**
 * Retrieve public key from PKCS7 certificate
 * 
 * @param certPath
 * @return
 * @throws IOException
 * @throws InvalidKeySpecException
 * @throws NoSuchAlgorithmException
 */
public static String getPublicKey(String certPath) throws IOException, InvalidKeySpecException, NoSuchAlgorithmException {

    File f = new File(certPath);
    FileInputStream is = new FileInputStream(f);

    ByteArrayOutputStream buffer = new ByteArrayOutputStream();

    int nRead;
    byte[] data = new byte[16384];

    while ((nRead = is.read(data, 0, data.length)) != -1) {
        buffer.write(data, 0, nRead);
    }

    buffer.flush();
    PKCS7 test = new PKCS7(buffer.toByteArray());
    X509Certificate[] certs = test.getCertificates();

    for (int i = 0; i < certs.length; i++) {
        if (certs[i] != null && certs[i].getPublicKey() != null) {
            return new BASE64Encoder().encode(certs[i].getPublicKey().getEncoded());
        }
    }
    return "";
}

从 Android Manifest 中读取包名称

这里您必须解析 Android 二进制 XML 以提取这些信息。通过此链接，您可以使用很多工具(和代码 fragment ):

How to parse the AndroidManifest.xml file inside an .apk package

要获取您的应用程序名称，这有点不同，这是 Android 编译的资源。 apktool 可以解码此类文件，但如果您想在 java 中执行此操作，则必须自己解码。这是 apktool 解码器 https://github.com/iBotPeaches/Apktool/blob/master/brut.apktool/apktool-lib/src/main/java/brut/androlib/ApkDecoder.java 。但是，如果您想要应用程序名称，则在 string.xml 中不需要它，因此这是您想要执行的特定操作。

<小时/>

我制作了一个Java工具，可以进行jar验证/公钥比较:https://github.com/bertrandmartel/apk-checker

<小时/>

使用 Bash

使用命令行，您可以更快、更轻松地测试输出:

检查签名验证

jarsigner -verbose -verify <your_apk_file_name>.apk | grep "jar verified"

检查公钥是否相同

unzip -p <your_apk_file_name1>.apk META-INF/CERT.RSA | keytool -printcert

检查包名是否相同

aapt d xmltree <your_apk_file_name1>.apk AndroidManifest.xml | grep "package=" | sed -e "s/.*=//g" | sed -e "s/ .*//g"

https://gist.github.com/bertrandmartel/374564b950e8a577550b 提供了 Bash 脚本的要点