添加Google Play“安全元数据”而不发布应用

时间:2018-06-27 07:17:12

标签: android google-play code-signing google-play-console android-app-signing

最近,Google引入了security metadata,它被添加到每个上传到Google Play的应用中。我们曾经有一个篡改保护功能,可以在运行时计算应用程序的签名(哈希),并检查它是否等于发布期间计算的哈希。多年来效果很好,但是现在GP正在通过添加安全元数据来修改应用的二进制文件。

  • 是否可以完全禁用GP安全元数据?
  • 是否可以在不发布的情况下从商店检查(下载)已修改的APK?似乎未修改Beta渠道中的应用,因此该解决方案无法正常工作。

2 个答案:

答案 0 :(得分:2)

  • 无法禁用Google Play安全元数据。
  • 不发布应用程序就无法获取
    • 修改(或应该修改)alpha和beta通道中的
  • APK,但前提是它们必须在程序开始日期(2018-06-19 12:00 UTC)之后上传。但是,APK处于Beta阶段时与生产阶段时,其元数据会有所不同。
  • 散列解决方案将继续起作用,但不会散列整个文件的解决方案。您可以考虑使用的替代方法包括对zip条目进行哈希处理或对classes.dex文件进行哈希处理。这些方法对其他开发人员也可以成功使用。

如果您偶尔具有在线访问权限(假设您正在检查哈希),那么另一个可行的选择是使用SafetyNet attestation API来检查您的应用程序,并在服务器上脱机验证签名。同样,许多知名开发商都成功使用了此功能。

答案 1 :(得分:0)

对不起,我们没有直接回答您的问题,但是无论如何还是发贴,以帮助您或其他任何人(在相同情况下):您是否考虑过验证APK的签名,而不是检查哈希值? Apksig是一个开放源代码库,可让您以更强大的方式获得相似的结果。

相关问题
最新问题