Comment vérifier qu'un apk Android est signé avec un certificat de sortie?

222

Comment puis-je vérifier qu'un apk Android est signé avec une version et non déboguer le certificat?

android apk android-keystore

— Vadivelan
source

6

J'ai écrit un script qui validera une apk par rapport à un keystore.

— JohnnyLambada

Acceptez la réponse si vous avez la vôtre.

— Rinkal Bhanderi

@JohnnyLambada Comment puis-je exécuter votre script sur Mac?

— Aaron Azhari

1

@JohnnyLambada Comment puis-je exécuter votre script?

— sunil

@sunil C'est un script bash qui crée une nouvelle fonction bash. suivez le lien et collez-le ensuite dans un fichier source thatfile. Les commentaires du script expliquent comment l'exécuter.

— JohnnyLambada

372

Utilisez cette commande, (accédez à java <jdk <chemin bin dans l'invite cmd)

$ jarsigner -verify -verbose -certs my_application.apk

Si vous voyez "CN = Android Debug", cela signifie que le .apk a été signé avec la clé de débogage générée par le SDK Android (signifie qu'il n'est pas signé), sinon vous trouverez quelque chose pour CN. Pour plus de détails, voir: http://developer.android.com/guide/publishing/app-signing.html

— Anass
source

1

J'ai reçu le message comme jar vérifié à la fin de l'exécution de la commande pour 2 fichiers apk diff.so confondu. mais comme cela donne CN = "debug android" pour 1 apk et différent pour les autres apk .got pour savoir lequel est signé .Thanks.

— iRunner

3

Comment cela vérifie-t-il la signature? Utilisera-t-il les autorités de certification de confiance du système? Ou ce n'est qu'un outil pour vérifier l'intégrité des fichiers jar? Merci

— Mostafa Shahverdy

2

this means the .apk was signed with the debug key generated by the Android SDK (means it is unsigned)- cela ne signifie pas qu'il n'est pas signé. Cela signifie ce que vous venez d'écrire - il est signé avec une clé de débogage.

— Dmitry Zaytsev

3

Comment pourrions-nous vérifier qu'il a été signé avec le même fichier de certificat exact, et pas seulement celui qui a les mêmes valeurs pour l'organisation, l'emplacement, etc.?

— OlivierM

1

Merci. Donc, jarsigner -verify -verbose -certs myapp.apk | grep CN= | lesset nous ne devrions pas voir "CN = Android Debug".

— rpattabi du

70

Utilisez la commande de la console:

apksigner verify --print-certs application-development-release.apk

Vous pouvez trouver apksigner dans ../sdk/build-tools/24.0.3/apksigner.bat. Uniquement pour les outils de build v. 24.0.3 et supérieur.

Lisez également google docs: https://developer.android.com/studio/command-line/apksigner.html

— PavelGP
source

J'ai trouvé apksignerdans `% LOCALAPPDATA% \ Android \ sdk \ build-tools \ 25.0.3` (et toutes les autres versions d'outils de construction que j'avais installées)

— Jon

2

Notez que cela apksignermanque dans la version 26.0.0de build-tools. Il est suivi dans issuetracker.google.com/issues/62696222 et devrait être corrigé dans la prochaine version. La solution de contournement jusque-là consiste à utiliser à apksignerpartir de 25.0.3.

— friederbluemle

2

Mise à jour: apksignerest incluse dans la version26.0.1

— forresthopkinsa

Mise à jour: APKSigner est également disponible en 26.0.2, 26.0.3, 27.0.0, 27.0.1, 27.0.2 Je pense que vous le trouverez dans toutes les versions futures :)

— Kirill Vashilo

2

pour une sortie détaillée, utilisez -v:./apksigner verify --print-certs -v ~/Downloads/MyAppHere.apk

— Tilo

59

Utilisez cette commande: (Jarsigner est dans votre dossier Java bin goto java-> jdk-> bin path in cmd prompt)

$ jarsigner -verify my_signed.apk

Si le .apk est signé correctement, Jarsigner imprime "jar Verified"

— Udaykiran
source

13

Ce n'est pas suffisant car les apks de débogage et de sortie sont signés donneront "jar vérifié". Vérifiez les détails de la réponse de @ Anass.

— rpattabi

J'ai essayé exactement cette commande et elle l'a vérifiée. Puis, à titre d'expérience, je suis allé dans l'APK et j'ai supprimé littéralement tous les fichiers, à l'exception des fichiers sig et du manifeste, et cela a toujours été vérifié. Donc, quelque chose ne va vraiment pas ici. Cependant, je n'ai pas encore essayé la réponse de @ Anass.

— orblivion

39

Le plus simple de tous:

keytool -list -printcert -jarfile file.apk

Cela utilise l'application keytool intégrée à Java et ne nécessite aucune extraction ni installation d'outils de build.

— Randy Sugianto «Yuku»
source

Pour ceux qui ne peuvent pas courir keytoolimmédiatement, vérifiez cela et essayez peut-être d'ajouter %JAVA_HOME%\binau chemin

— TT--

0

1. décompressez apk
1. keytool -printcert -file ANDROID_.RSA or keytool -list -printcert -jarfile app.apk obtenir le hachage md5
keytool -list -v -keystore clave-release.jks
comparer le md5

https://www.eovao.com/en/a/signature%20apk%20android/3/how-to-verify-signature-of-.apk-android-archive

— avoine
source