这是我的看法...
一个朋友删除了Play商店应用,但希望它恢复安装另一个应用,但是我找不到要从Google下载的应用并将其从不可信的网站下载。
jarsigner -verify -strict com.android.vending_13.5.18-all_0_PR_231859342-81351800_minAPI16\(armeabi\,armeabi-v7a\,mips\,mips64\,x86\,x86_64\)\(nodpi\)_apkmirror.com.apk
说
jar verified, with signer errors.
Error:
This jar contains entries whose certificate chain is not validated.
警告: 此jar包含不包含时间戳的签名。如果没有时间戳,则用户可能无法在签署者证书的到期日期(2036-01-08)或以后的任何撤销日期之后验证此jar。
使用午夜指挥官(tar和bsdtar无效),我从手机上的受信任的Google应用中提取了证书:
GoogleEars.apk / META-INF / CERT.RSA
并将其解码:
openssl pkcs7 -inform DER -in CERT.RSA -noout -print_certs -text >x1
我对下载到文件x2中的apk进行了相同的操作。 x1和x2相同:
cmp x1 x2
现在假设是apk用其中的证书进行了签名,因此下载的应用程序的签名与我手机上的证书一样受信任。
对吗?
也欢迎其他/更好的解决方案。