apkpure 下载的 APKPure 应用市场 APK File SHA1 不吻合,但是 Signature 是吻合的,是否是官网出现漏洞?
nosugar · 2017-11-07 16:47:06 +08:00 · 12883 次点击这是一个创建于 2571 天前的主题,其中的信息可能已经有所发展或是发生改变。
Version: 2.3.1 (2031) for Android 4.0.3+ (Ice Cream Sandwich MR1, API 15)
https://apkpure.com/apkpure/com.apkpure.aegon
下载了几次,SHA1 都对不上
但是:
安卓 SDK ./sdk/build-tools/xxx/apksigner
apksigner verify --print-certs xxx.apk
校验下载的 apk Signature 是一样的
是否是官网出现问题了,还是分发策略问题,若是官网漏洞情况就严重了!
apk 8M 左右,有空大家可以试试
https://apkpure.com/apkpure/com.apkpure.aegon
https://apkpure.com/apkpure/com.apkpure.aegon
下载了几次,SHA1 都对不上
但是:
安卓 SDK ./sdk/build-tools/xxx/apksigner
apksigner verify --print-certs xxx.apk
校验下载的 apk Signature 是一样的
是否是官网出现问题了,还是分发策略问题,若是官网漏洞情况就严重了!
apk 8M 左右,有空大家可以试试
https://apkpure.com/apkpure/com.apkpure.aegon
 |
1
sunbeams001 2017-11-07 17:28:08 +08:00
看起来的确不同,这边使用在线服务算出来是
75023f12dc9a9ce42894a2324268e67fccc61261 |
 |
2
qiyuey 2017-11-07 17:55:16 +08:00
可以打多个包的,都是官方的,没问题的
|
 |
3
metorm 2017-11-07 18:00:07 +08:00 via Android
打多个包通过不同渠道发布挺常见的。有时候就是为了统计下各个渠道的下载量。
|
 |
4
xfspace 2017-11-07 18:05:36 +08:00 via Android
File: Download/apkpure_app_2031(1).apk
MD5: 54:2b:f6:1d:45:b0:e1:34:af:cf:91:03:2a:cf:c5:29 SHA1: f3:57:73:eb:c3:d4:26:78:c2:af:50:ee:c0:a9:9b:b2:51:e5:e6:0b File: Download/apkpure_app_2031.apk MD5: 54:2b:f6:1d:45:b0:e1:34:af:cf:91:03:2a:cf:c5:29 SHA1: f3:57:73:eb:c3:d4:26:78:c2:af:50:ee:c0:a9:9b:b2:51:e5:e6:0b 广东联通 LTE 网络,正常 |
 |
5
nosugar OP @sunbeams001
@qiyuey @metorm @xfspace 海外服务器从官网下载也对不上。我觉得从安全性考虑来说,官网贴的 sha1 跟用户下载的不一样,本身就是一件值得警惕的事情。合理的做法,官网应该把各个渠道所有包的 sha1 都贴上去。 |
 |
6
zjp 2017-11-07 18:46:55 +08:00 via Android
多渠道打包是为了分发不同应用商店,官网同一个链接提供多个签名版本是为了什么…?
不过,签名一致就完全没问题 |
|
7
nosugar OP @zjp 这岂不是,哪天其服务器被黑了,大量用户遭殃。个人观点:APKPure 这种提供历史版本的网站,file hash 都不能做到严谨,很是有问题。
|
 |
8
LukeChien 2017-11-07 18:54:56 +08:00 via Android
为了跟踪用户吧
|
|
12
zjp 2017-11-07 19:10:55 +08:00 via Android  1
@nosugar 做不到用同一个签名啊除非拿到开发者的私钥。用户一开始用的就是重新签名过的 apk 那就没办法了
|
|
13
nosugar OP @zjp 我的意思是开发商作恶,例如加了某些代码,用自己的私钥签,然后版本号不变,你以为 APP 没更新(这时候 SHA1 就体现用处了),其实里面有料。
|
 |
15
yankebupt 2017-11-07 19:29:36 +08:00 1
@nosugar 这个还好...比较危险的是热更新...比如斗鱼 apk,不重要的版本更新都是热更新试水然后替换 apk 的。
你什么都没动版本号已经先上去了。然后可能 AB 测试后没问题再换官方下载链接 apk 版本号。 我是用 accessibility 服务自动化工具读弹幕给蓝牙耳机时发现的。没手动更新 apk 结果自动更新了,内部变了读弹幕失效了,app crash 了几次之后官方才推送完整 apk 下载来... 热更新确实能够对不重要的更新减少大量 apk 编译安装时间,但是万一 crash 了版本号和安装包都对不上... |
|
16
zjp 2017-11-07 19:30:11 +08:00 via Android
@nosugar 咦咦咦…你都用 SDK 的签名工具比较签名了,肯定知道签名不对不能覆盖安装的吧(除非核心破解
|
 |
17
fengleidongxi 2017-11-16 14:50:01 +08:00
|
|
18
nosugar OP @fengleidongxi 11.06 测试问题依旧,上次从官网问题反馈入口提给他们了,没收到回复。有条件的还是用 Google Play 吧,APKPure 感觉还是容易出问题。
|
Select Language