Home Sign Up Sign In
nosugar
V2EX  ›  Android

apkpure 下载的 APKPure 应用市场 APK File SHA1 不吻合,但是 Signature 是吻合的,是否是官网出现漏洞?

  •  1      
  •   nosugar · Nov 7, 2017 · 17214 views
    This topic created in 3119 days ago, the information mentioned may be changed or developed.
    Version: 2.3.1 (2031) for Android 4.0.3+ (Ice Cream Sandwich MR1, API 15)

    https://apkpure.com/apkpure/com.apkpure.aegon
    下载了几次,SHA1 都对不上

    但是:
    安卓 SDK ./sdk/build-tools/xxx/apksigner
    apksigner verify --print-certs xxx.apk
    校验下载的 apk Signature 是一样的

    是否是官网出现问题了,还是分发策略问题,若是官网漏洞情况就严重了!

    apk 8M 左右,有空大家可以试试
    https://apkpure.com/apkpure/com.apkpure.aegon
  • APK
  • apkpure
  • SHA1
  • signature
    18 replies    2017-11-16 17:18:24 +08:00
    sunbeams001
        1
    sunbeams001  
       Nov 7, 2017
    看起来的确不同,这边使用在线服务算出来是
    75023f12dc9a9ce42894a2324268e67fccc61261
    qiyuey
        2
    qiyuey  
       Nov 7, 2017
    可以打多个包的,都是官方的,没问题的
    metorm
        3
    metorm  
       Nov 7, 2017 via Android
    打多个包通过不同渠道发布挺常见的。有时候就是为了统计下各个渠道的下载量。
    xfspace
        4
    xfspace  
       Nov 7, 2017 via Android
    File: Download/apkpure_app_2031(1).apk
    MD5: 54:2b:f6:1d:45:b0:e1:34:af:cf:91:03:2a:cf:c5:29
    SHA1: f3:57:73:eb:c3:d4:26:78:c2:af:50:ee:c0:a9:9b:b2:51:e5:e6:0b


    File: Download/apkpure_app_2031.apk
    MD5: 54:2b:f6:1d:45:b0:e1:34:af:cf:91:03:2a:cf:c5:29
    SHA1: f3:57:73:eb:c3:d4:26:78:c2:af:50:ee:c0:a9:9b:b2:51:e5:e6:0b


    广东联通 LTE 网络,正常
    nosugar
        5
    nosugar  
    OP
       Nov 7, 2017
    @sunbeams001
    @qiyuey
    @metorm
    @xfspace
    海外服务器从官网下载也对不上。我觉得从安全性考虑来说,官网贴的 sha1 跟用户下载的不一样,本身就是一件值得警惕的事情。合理的做法,官网应该把各个渠道所有包的 sha1 都贴上去。
    zjp
        6
    zjp  
       Nov 7, 2017 via Android
    多渠道打包是为了分发不同应用商店,官网同一个链接提供多个签名版本是为了什么…?
    不过,签名一致就完全没问题
    nosugar
        7
    nosugar  
    OP
       Nov 7, 2017
    @zjp 这岂不是,哪天其服务器被黑了,大量用户遭殃。个人观点:APKPure 这种提供历史版本的网站,file hash 都不能做到严谨,很是有问题。
    LukeChien
        8
    LukeChien  
       Nov 7, 2017 via Android
    为了跟踪用户吧
    nosugar
        9
    nosugar  
    OP
       Nov 7, 2017
    @LukeChien 看来还是转 Google Play 才行,这问题细思极恐
    nosugar
        10
    nosugar  
    OP
       Nov 7, 2017
    @LukeChien 私下改下软件包,用同一个签名,你无法判断软件包是否修改过
    nosugar
        11
    nosugar  
    OP
       Nov 7, 2017
    @zjp 私下改下软件包,用同一个签名,好像是无法判断软件包是否修改过,这样万一别的软件商用同一策略不好处理吧
    zjp
        12
    zjp  
       Nov 7, 2017 via Android   ❤️ 1
    @nosugar 做不到用同一个签名啊除非拿到开发者的私钥。用户一开始用的就是重新签名过的 apk 那就没办法了
    nosugar
        13
    nosugar  
    OP
       Nov 7, 2017
    @zjp 我的意思是开发商作恶,例如加了某些代码,用自己的私钥签,然后版本号不变,你以为 APP 没更新(这时候 SHA1 就体现用处了),其实里面有料。
    Lentin
        14
    Lentin  
       Nov 7, 2017
    @nosugar 签名不对不能覆盖安装的
    yankebupt
        15
    yankebupt  
       Nov 7, 2017   ❤️ 1
    @nosugar 这个还好...比较危险的是热更新...比如斗鱼 apk,不重要的版本更新都是热更新试水然后替换 apk 的。
    你什么都没动版本号已经先上去了。然后可能 AB 测试后没问题再换官方下载链接 apk 版本号。
    我是用 accessibility 服务自动化工具读弹幕给蓝牙耳机时发现的。没手动更新 apk 结果自动更新了,内部变了读弹幕失效了,app crash 了几次之后官方才推送完整 apk 下载来...
    热更新确实能够对不重要的更新减少大量 apk 编译安装时间,但是万一 crash 了版本号和安装包都对不上...
    zjp
        16
    zjp  
       Nov 7, 2017 via Android
    @nosugar 咦咦咦…你都用 SDK 的签名工具比较签名了,肯定知道签名不对不能覆盖安装的吧(除非核心破解
    fengleidongxi
        17
    fengleidongxi  
       Nov 16, 2017
    @nosugar 现在有什么结果?


    @zjp 修改 dex,删除或增加代码,签名可以不变,难道你不知道?
    nosugar
        18
    nosugar  
    OP
       Nov 16, 2017
    @fengleidongxi 11.06 测试问题依旧,上次从官网问题反馈入口提给他们了,没收到回复。有条件的还是用 Google Play 吧,APKPure 感觉还是容易出问题。
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   2788 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 49ms · UTC 15:11 · PVG 23:11 · LAX 08:11 · JFK 11:11
    ♥ Do have faith in what you're doing.