¿Cómo verifico que un apk de Android esté firmado con un certificado de lanzamiento?

222

¿Cómo puedo verificar que un apk de Android esté firmado con un lanzamiento y no un certificado de depuración?

android apk android-keystore

— Vadivelan
fuente

66

Escribí un script que validará un apk contra un almacén de claves.

— JohnnyLambada

acepta la respuesta si tienes la tuya.

— Rinkal Bhanderi

@JohnnyLambada ¿Cómo puedo ejecutar su script en Mac?

— Aaron Azhari

1

@JohnnyLambada ¿Cómo puedo ejecutar su script?

— sunil

@sunil Es un script bash que crea una nueva función bash. siga el enlace y péguelo en un archivo entonces source thatfile. Los comentarios en el script explican cómo ejecutarlo.

— JohnnyLambada

372

Utilice este comando, (vaya a java <jdk <ruta del bin en el indicador de cmd)

$ jarsigner -verify -verbose -certs my_application.apk

Si ve "CN = Android Debug", esto significa que .apk se firmó con la clave de depuración generada por el SDK de Android (significa que no está firmado), de lo contrario, encontrará algo para CN. Para obtener más detalles, consulte: http://developer.android.com/guide/publishing/app-signing.html

— Anass
fuente

1

Recibí el mensaje como jar verificado al final de la ejecución del comando para 2 archivos apk diff. Así que me confundí. pero como da CN = "depuración de Android" para 1 apk y diferente para otras apk .got a knw que 1 está firmado. Gracias.

— iRunner

3

¿Cómo verifica esto la firma? ¿Utilizará las CA de confianza del sistema? ¿O esta es solo una herramienta para verificar la integridad de los archivos jar? Gracias

— Mostafa Shahverdy

2

this means the .apk was signed with the debug key generated by the Android SDK (means it is unsigned)- Esto no significa que no esté firmado. Significa lo que acaba de escribir: está firmado con la clave de depuración.

— Dmitry Zaytsev

3

¿Cómo podríamos verificar que se firmó con el mismo archivo de certificado exacto, y no solo uno que tenga los mismos valores de organización, ubicación, etc.?

— OlivierM

1

Gracias. Entonces, jarsigner -verify -verbose -certs myapp.apk | grep CN= | lessno deberíamos ver "CN = Android Debug".

— rpattabi

70

Use el comando de consola:

apksigner verify --print-certs application-development-release.apk

Puede encontrar un apksigner en ../sdk/build-tools/24.0.3/apksigner.bat. Solo para herramientas de compilación v. 24.0.3 y superior.

Lea también documentos de google: https://developer.android.com/studio/command-line/apksigner.html

— PavelGP
fuente

Encontré apksigneren `% LOCALAPPDATA% \ Android \ sdk \ build-tools \ 25.0.3` (y en cualquier otra versión de herramientas de compilación que haya instalado)

— Jon

2

Tenga en cuenta que apksignerfalta en la versión 26.0.0de herramientas de compilación. Se rastrea en issuetracker.google.com/issues/62696222 y se supone que se arreglará en la próxima versión. La solución hasta entonces es usar apksignerdesde 25.0.3.

— friederbluemle

2

Actualización: apksignerse incluye en la versión26.0.1

— forresthopkinsa

Actualización: APKSigner también está en 26.0.2, 26.0.3, 27.0.0, 27.0.1, 27.0.2 Creo que lo encontrará en todas las versiones futuras :)

— Kirill Vashilo

2

para salida detallada use -v:./apksigner verify --print-certs -v ~/Downloads/MyAppHere.apk

— Tilo

59

Use este comando: (Jarsigner está en su carpeta bin de Java goto java-> jdk-> bin path en cmd prompt)

$ jarsigner -verify my_signed.apk

Si el .apk está firmado correctamente, Jarsigner imprime "jar verificado"

— Udaykiran
fuente

13

Esto no es lo suficientemente bueno, ya que tanto las aplicaciones de depuración como de lanzamiento están firmadas, darán "jar verificado". Verifique los detalles de la respuesta de @ Anass.

— rpattabi

Intenté exactamente este comando y se verificó. Luego, como experimento, entré en el APK y eliminé literalmente todos los archivos excepto los archivos sig y el manifiesto, y aún así se verificó. Entonces algo está muy mal aquí. Sin embargo, todavía tengo que probar la respuesta de @ Anass.

— orblivion

39

El más fácil de todos:

keytool -list -printcert -jarfile file.apk

Esto utiliza la aplicación Java Keytool incorporada y no requiere extracción ni instalación de herramientas de construcción.

— Randy Sugianto 'Yuku'
fuente

Para cualquiera que no pueda correr de keytoolinmediato, verifique esto y tal vez intente agregar %JAVA_HOME%\binal camino

— TT--

0

1. descomprimir apk
1. keytool -printcert -file ANDROID_.RSA or keytool -list -printcert -jarfile app.apk para obtener el hash md5
keytool -list -v -keystore clave-release.jks
compara el md5

https://www.eovao.com/en/a/signature%20apk%20android/3/how-to-verify-signature-of-.apk-android-archive

— avena
fuente