Wie überprüfe ich, ob eine Android-Apk mit einem Release-Zertifikat signiert ist?

222

Wie kann ich überprüfen, ob ein Android-Apk mit einem Release signiert ist und kein Debug-Zertifikat?

android apk android-keystore

— Vadivelan
quelle

6

Ich habe ein Skript geschrieben , das eine apk gegen einen Keystore validiert.

— Johnny Lambada

Akzeptiere die Antwort, wenn du deine hast.

— Rinkal Bhanderi

@JohnnyLambada Wie kann ich Ihr Skript auf einem Mac ausführen?

— Aaron Azhari

1

@JohnnyLambada Wie kann ich Ihr Skript ausführen?

— Sunil

@sunil Es ist ein Bash-Skript, das eine neue Bash-Funktion erstellt. Folgen Sie dem Link und fügen Sie ihn dann in eine Datei ein source thatfile. Kommentare im Skript erklären, wie es ausgeführt wird.

— Johnny Lambada

372

Verwenden Sie diesen Befehl (gehen Sie in der Eingabeaufforderung cmd zu Java <jdk <bin path).

$ jarsigner -verify -verbose -certs my_application.apk

Wenn "CN = Android Debug" angezeigt wird, bedeutet dies, dass die APK mit dem vom Android SDK generierten Debug-Schlüssel signiert wurde (dh, sie ist nicht signiert). Andernfalls finden Sie etwas für CN. Weitere Informationen finden Sie unter: http://developer.android.com/guide/publishing/app-signing.html

— Anass
quelle

1

Ich habe die Nachricht als jar am Ende der Befehlsausführung für 2 verschiedene apk-Dateien überprüft bekommen. Also wurde verwirrt. aber da es CN = "android debug" für 1 apk gibt und anders für andere apk. muss wissen, welche 1 signiert ist. Danke.

— iRunner

3

Wie überprüft dies die Signatur? Wird es die vertrauenswürdigen Zertifizierungsstellen des Systems verwenden? Oder ist dies nur ein Tool, um die Integrität der JAR-Dateien zu überprüfen? Vielen Dank

— Mostafa Shahverdy

2

this means the .apk was signed with the debug key generated by the Android SDK (means it is unsigned)- Dies bedeutet nicht, dass es nicht signiert ist. Es bedeutet, was Sie gerade geschrieben haben - es ist mit dem Debug-Schlüssel signiert.

— Dmitry Zaytsev

3

Wie können wir überprüfen, ob es mit derselben genauen Zertifikatdatei signiert wurde und nicht nur mit einer, die zufällig dieselben Werte für Organisation, Standort usw. hat?

— OlivierM

1

Vielen Dank. Also jarsigner -verify -verbose -certs myapp.apk | grep CN= | lessund wir sollten nicht "CN = Android Debug" sehen.

— Rpattabi

70

Verwenden Sie den Konsolenbefehl:

apksigner verify --print-certs application-development-release.apk

Sie finden apksigner in ../sdk/build-tools/24.0.3/apksigner.bat. Nur für Build-Tools ab Version 24.0.3.

Lesen Sie auch die Google-Dokumente: https://developer.android.com/studio/command-line/apksigner.html

— PavelGP
quelle

Ich fand apksignerin `% LOCALAPPDATA% \ Android \ sdk \ build-tools \ 25.0.3` (und jeder anderen Build-Tool-Version, die ich installiert hatte)

— Jon

2

Beachten Sie, dass dies apksignerin der Version 26.0.0der Build-Tools fehlt . Es wird in issuetracker.google.com/issues/62696222 verfolgt und soll in der nächsten Version behoben werden. Die Abhilfe bis dahin ist die Verwendung apksignervon 25.0.3.

— Friederbluemle

2

Update: apksignerist in der Version enthalten26.0.1

— forresthopkinsa

Update: APKSigner ist auch in 26.0.2, 26.0.3, 27.0.0, 27.0.1, 27.0.2 Ich glaube, Sie werden es in allen zukünftigen Versionen finden :)

— Kirill Vashilo

2

Für eine ausführliche Ausgabe verwenden Sie -v:./apksigner verify --print-certs -v ~/Downloads/MyAppHere.apk

— Tilo

59

Verwenden Sie diesen Befehl: (Jarsigner befindet sich in Ihrem Java-Bin-Ordner. Gehen Sie zu Java-> JDK-> Bin-Pfad in der Cmd-Eingabeaufforderung.)

$ jarsigner -verify my_signed.apk

Wenn die APK-Datei ordnungsgemäß signiert ist, druckt Jarsigner "jar verified".

— Udaykiran
quelle

13

Dies ist nicht gut genug, da sowohl Debug- als auch Release-Apks signiert sind und "jar verified" ergeben. Überprüfen Sie die Details der Antwort von @ Anass.

— Rpattabi

Ich habe genau diesen Befehl ausprobiert und er wurde überprüft. Dann ging ich als Experiment in die APK und löschte buchstäblich jede Datei außer den Sig-Dateien und dem Manifest, und es wurde immer noch überprüft. Hier stimmt also etwas nicht. Allerdings habe ich @ Anass 'Antwort noch nicht ausprobiert.

— Orblivion

39

Das einfachste von allen:

keytool -list -printcert -jarfile file.apk

Dies verwendet die in Java integrierte Keytool-App und erfordert keine Extraktion oder Installation von Build-Tools.

— Randy Sugianto 'Yuku'
quelle

Für alle, die nicht keytoolsofort laufen können , überprüfen Sie dies und versuchen Sie vielleicht %JAVA_HOME%\bin, dem Pfad

— hinzuzufügen

0

1. entpacke apk
1. keytool -printcert -file ANDROID_.RSA or keytool -list -printcert -jarfile app.apk um den Hash md5 zu erhalten
keytool -list -v -keystore clave-release.jks
vergleiche den md5

https://www.eovao.com/de/a/signature%20apk%20android/3/how-to-verify-signature-of-.apk-android-archive

— Hafer
quelle