0

我从其他来源(apkfollow.com)下载了一个 apk 文件,以获取我的银行应用程序的旧版本。我已经apksigner针对这个 apk 文件运行如下:

apksigner verify --verbose --print-certs <my-app-name>.apk 
Verifies
Verified using v1 scheme (JAR signing): false
Verified using v2 scheme (APK Signature Scheme v2): true
Verified using v3 scheme (APK Signature Scheme v3): true

问题:

  1. 为什么是 v1 方案false?较新的 Android 版本不再需要它吗?
  2. 我可以相信这个apk吗?如果它说Verifies,这是否意味着 apk 文件是应用程序的官方未修改版本(假设我知道公钥/证书具有正确的已知摘要)?
4

1 回答 1

0

只要第一行是“验证”,那么是的,您可以信任*此 APK。

下面的其他几行是关于实现签名级别的一些细节:v1 签名方案(又名 JAR 签名)比 v2 和 v3 签名方案弱,如果您的 minSdkVersion 24+ 是可选的,因此可以解释为什么 v1 签名方案不存在。

* 请注意,这并没有告诉您是谁签名的,只是在“某人”签名之后没有修改它。您必须查看证书以确保它是由您期望的人签名的。

于 2021-02-01T12:01:56.083 回答