web-dev-qa-db-ja.com

AndroidデバイスでAPKに署名した人の身元を確認する方法は?

デバイスにインストールしたアプリケーションに誰が署名したかを確認する必要があります。これは通常、デバイスまたはPCで実行できますか?

37

(未加工のapkファイルへのアクセスを取得できると仮定します-非ルートの電話で/ dataの内容を一覧表示することはできませんが、その名前と場所を知っているか、推測に基づいて推測すれば、通常、これが可能です)

ApkをZipファイルとして開き、META-INF/CERT.RSAのバイナリコンテンツからASCIIテキストをフィルタリングできます。

または実際のツールを使用して、

jarsigner -verify -certs -verbose some_application.apk

もちろん、署名者が本人であることを確認する唯一の方法は、直接または検証された手段を介して、その当事者から同じ鍵で署名された別のものを入手し、署名鍵のフィンガープリントを比較することです。つまり、Android自体は、アプリのアップグレードとアプリIDの共有が、対象とする既存のAPKと同じパーティーからのものであることを確認します。

57
Chris Stratton

apkからの証明書の詳細の取得 から、次のコマンドを使用できます

openssl pkcs7 -inform DER -in CERT.RSA -noout -print_certs -text

6
user2645905