apkpure 下载的 APKPure 应用市场 APK File SHA1 不吻合，但是 Signature 是吻合的，是否是官网出现漏洞？

看起来的确不同，这边使用在线服务算出来是
75023f12dc9a9ce42894a2324268e67fccc61261

可以打多个包的，都是官方的，没问题的

打多个包通过不同渠道发布挺常见的。有时候就是为了统计下各个渠道的下载量。

File: Download/apkpure_app_2031(1).apk
MD5: 54:2b:f6:1d:45:b0:e1:34:af:cf:91:03:2a:cf:c5:29
SHA1: f3:57:73:eb:c3:d4:26:78:c2:af:50:ee:c0:a9:9b:b2:51:e5:e6:0b


File: Download/apkpure_app_2031.apk
MD5: 54:2b:f6:1d:45:b0:e1:34:af:cf:91:03:2a:cf:c5:29
SHA1: f3:57:73:eb:c3:d4:26:78:c2:af:50:ee:c0:a9:9b:b2:51:e5:e6:0b


广东联通 LTE 网络，正常

@sunbeams001
@qiyuey
@metorm
@xfspace
海外服务器从官网下载也对不上。我觉得从安全性考虑来说，官网贴的 sha1 跟用户下载的不一样，本身就是一件值得警惕的事情。合理的做法，官网应该把各个渠道所有包的 sha1 都贴上去。

多渠道打包是为了分发不同应用商店，官网同一个链接提供多个签名版本是为了什么…？
不过，签名一致就完全没问题

@zjp 这岂不是，哪天其服务器被黑了，大量用户遭殃。个人观点：APKPure 这种提供历史版本的网站，file hash 都不能做到严谨，很是有问题。

为了跟踪用户吧

@LukeChien 看来还是转 Google Play 才行，这问题细思极恐

@LukeChien 私下改下软件包，用同一个签名，你无法判断软件包是否修改过

@zjp 私下改下软件包，用同一个签名，好像是无法判断软件包是否修改过，这样万一别的软件商用同一策略不好处理吧

@nosugar 做不到用同一个签名啊除非拿到开发者的私钥。用户一开始用的就是重新签名过的 apk 那就没办法了

@zjp 我的意思是开发商作恶，例如加了某些代码，用自己的私钥签，然后版本号不变，你以为 APP 没更新（这时候 SHA1 就体现用处了），其实里面有料。

@nosugar 签名不对不能覆盖安装的

@nosugar 这个还好...比较危险的是热更新...比如斗鱼 apk，不重要的版本更新都是热更新试水然后替换 apk 的。
你什么都没动版本号已经先上去了。然后可能 AB 测试后没问题再换官方下载链接 apk 版本号。
我是用 accessibility 服务自动化工具读弹幕给蓝牙耳机时发现的。没手动更新 apk 结果自动更新了，内部变了读弹幕失效了，app crash 了几次之后官方才推送完整 apk 下载来...
热更新确实能够对不重要的更新减少大量 apk 编译安装时间，但是万一 crash 了版本号和安装包都对不上...

@nosugar 咦咦咦…你都用 SDK 的签名工具比较签名了，肯定知道签名不对不能覆盖安装的吧（除非核心破解

@nosugar 现在有什么结果？


@zjp 修改 dex，删除或增加代码，签名可以不变，难道你不知道？

@fengleidongxi 11.06 测试问题依旧，上次从官网问题反馈入口提给他们了，没收到回复。有条件的还是用 Google Play 吧，APKPure 感觉还是容易出问题。