V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
nosugar
V2EX  ›  Android

apkpure 下载的 APKPure 应用市场 APK File SHA1 不吻合,但是 Signature 是吻合的,是否是官网出现漏洞?

  •  1
     
  •   nosugar · 2017-11-07 16:47:06 +08:00 · 13089 次点击
    这是一个创建于 2582 天前的主题,其中的信息可能已经有所发展或是发生改变。
    Version: 2.3.1 (2031) for Android 4.0.3+ (Ice Cream Sandwich MR1, API 15)

    https://apkpure.com/apkpure/com.apkpure.aegon
    下载了几次,SHA1 都对不上

    但是:
    安卓 SDK ./sdk/build-tools/xxx/apksigner
    apksigner verify --print-certs xxx.apk
    校验下载的 apk Signature 是一样的

    是否是官网出现问题了,还是分发策略问题,若是官网漏洞情况就严重了!

    apk 8M 左右,有空大家可以试试
    https://apkpure.com/apkpure/com.apkpure.aegon
    18 条回复    2017-11-16 17:18:24 +08:00
    sunbeams001
        1
    sunbeams001  
       2017-11-07 17:28:08 +08:00
    看起来的确不同,这边使用在线服务算出来是
    75023f12dc9a9ce42894a2324268e67fccc61261
    qiyuey
        2
    qiyuey  
       2017-11-07 17:55:16 +08:00
    可以打多个包的,都是官方的,没问题的
    metorm
        3
    metorm  
       2017-11-07 18:00:07 +08:00 via Android
    打多个包通过不同渠道发布挺常见的。有时候就是为了统计下各个渠道的下载量。
    xfspace
        4
    xfspace  
       2017-11-07 18:05:36 +08:00 via Android
    File: Download/apkpure_app_2031(1).apk
    MD5: 54:2b:f6:1d:45:b0:e1:34:af:cf:91:03:2a:cf:c5:29
    SHA1: f3:57:73:eb:c3:d4:26:78:c2:af:50:ee:c0:a9:9b:b2:51:e5:e6:0b


    File: Download/apkpure_app_2031.apk
    MD5: 54:2b:f6:1d:45:b0:e1:34:af:cf:91:03:2a:cf:c5:29
    SHA1: f3:57:73:eb:c3:d4:26:78:c2:af:50:ee:c0:a9:9b:b2:51:e5:e6:0b


    广东联通 LTE 网络,正常
    nosugar
        5
    nosugar  
    OP
       2017-11-07 18:46:07 +08:00
    @sunbeams001
    @qiyuey
    @metorm
    @xfspace
    海外服务器从官网下载也对不上。我觉得从安全性考虑来说,官网贴的 sha1 跟用户下载的不一样,本身就是一件值得警惕的事情。合理的做法,官网应该把各个渠道所有包的 sha1 都贴上去。
    zjp
        6
    zjp  
       2017-11-07 18:46:55 +08:00 via Android
    多渠道打包是为了分发不同应用商店,官网同一个链接提供多个签名版本是为了什么…?
    不过,签名一致就完全没问题
    nosugar
        7
    nosugar  
    OP
       2017-11-07 18:54:35 +08:00
    @zjp 这岂不是,哪天其服务器被黑了,大量用户遭殃。个人观点:APKPure 这种提供历史版本的网站,file hash 都不能做到严谨,很是有问题。
    LukeChien
        8
    LukeChien  
       2017-11-07 18:54:56 +08:00 via Android
    为了跟踪用户吧
    nosugar
        9
    nosugar  
    OP
       2017-11-07 18:55:41 +08:00
    @LukeChien 看来还是转 Google Play 才行,这问题细思极恐
    nosugar
        10
    nosugar  
    OP
       2017-11-07 18:56:19 +08:00
    @LukeChien 私下改下软件包,用同一个签名,你无法判断软件包是否修改过
    nosugar
        11
    nosugar  
    OP
       2017-11-07 18:57:13 +08:00
    @zjp 私下改下软件包,用同一个签名,好像是无法判断软件包是否修改过,这样万一别的软件商用同一策略不好处理吧
    zjp
        12
    zjp  
       2017-11-07 19:10:55 +08:00 via Android   ❤️ 1
    @nosugar 做不到用同一个签名啊除非拿到开发者的私钥。用户一开始用的就是重新签名过的 apk 那就没办法了
    nosugar
        13
    nosugar  
    OP
       2017-11-07 19:13:29 +08:00
    @zjp 我的意思是开发商作恶,例如加了某些代码,用自己的私钥签,然后版本号不变,你以为 APP 没更新(这时候 SHA1 就体现用处了),其实里面有料。
    Lentin
        14
    Lentin  
       2017-11-07 19:23:14 +08:00
    @nosugar 签名不对不能覆盖安装的
    yankebupt
        15
    yankebupt  
       2017-11-07 19:29:36 +08:00   ❤️ 1
    @nosugar 这个还好...比较危险的是热更新...比如斗鱼 apk,不重要的版本更新都是热更新试水然后替换 apk 的。
    你什么都没动版本号已经先上去了。然后可能 AB 测试后没问题再换官方下载链接 apk 版本号。
    我是用 accessibility 服务自动化工具读弹幕给蓝牙耳机时发现的。没手动更新 apk 结果自动更新了,内部变了读弹幕失效了,app crash 了几次之后官方才推送完整 apk 下载来...
    热更新确实能够对不重要的更新减少大量 apk 编译安装时间,但是万一 crash 了版本号和安装包都对不上...
    zjp
        16
    zjp  
       2017-11-07 19:30:11 +08:00 via Android
    @nosugar 咦咦咦…你都用 SDK 的签名工具比较签名了,肯定知道签名不对不能覆盖安装的吧(除非核心破解
    fengleidongxi
        17
    fengleidongxi  
       2017-11-16 14:50:01 +08:00
    @nosugar 现在有什么结果?


    @zjp 修改 dex,删除或增加代码,签名可以不变,难道你不知道?
    nosugar
        18
    nosugar  
    OP
       2017-11-16 17:18:24 +08:00
    @fengleidongxi 11.06 测试问题依旧,上次从官网问题反馈入口提给他们了,没收到回复。有条件的还是用 Google Play 吧,APKPure 感觉还是容易出问题。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1019 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 21:03 · PVG 05:03 · LAX 13:03 · JFK 16:03
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.