如何检查 APK 是不是已签名或“调试构建”？

Posted 2023-03-13

【中文标题】如何检查 APK 是不是已签名或“调试构建”？

【英文标题】：How to check if APK is signed or "debug build"?如何检查 APK 是否已签名或“调试构建”？

【发布时间】：2011-10-28 11:26:32

【问题描述】：

据我所知，在 android 中，“release build”是签名的 APK。如何从代码中检查它 或者 Eclipse 是否有某种秘密定义？

我需要它来调试从 Web 服务数据填充 ListView 项目（不，logcat 不是一个选项）。

我的想法：

应用程序的android:debuggable，但由于某种原因，这看起来不可靠。 硬编码设备 ID 不是一个好主意，因为我使用相同的设备来测试签名的 APK。 在代码中的某处使用手动标志？有道理，但肯定会在某个时候忘记更改，而且所有程序员都很懒惰。

【问题讨论】：

滚动支持 Phil 的编辑。这不是关于程序是否在市场上合法分发的问题。问题是程序是否仍处于“调试模式”。

这种方式是最简单的方法：***.com/a/23844716/2296787

【参考方案1】：

要检查可调试标志，您可以使用以下代码：

boolean isDebuggable =  ( 0 != ( getApplicationInfo().flags & ApplicationInfo.FLAG_DEBUGGABLE ) );

科特林：

val isDebuggable = 0 != applicationInfo.flags and ApplicationInfo.FLAG_DEBUGGABLE

更多信息请见Securing Android LVL Applications。

或者，如果您正确使用 Gradle，您可以检查 BuildConfig.DEBUG 是真还是假。

【讨论】：

这似乎仍然检查清单的 android:debuggable

第一个测试 Manifest debuggable，已弃用。第二个对于库是不可能的，lib 将有它自己的 BuildConfig - 无法导入正在使用 Lib 的 App 的 BuildConfig。因此标记的答案是“好的”

无论库项目还是应用程序项目，此答案都适用于所有情况。

【参考方案2】：

马克·墨菲回答

最简单、最好的长期解决方案是使用BuildConfig.DEBUG。这是一个 boolean 值，对于调试版本将是 true，否则为 false：

if (BuildConfig.DEBUG) 
  // do something for a debug build

【讨论】：

这种方法的唯一缺点是它不适用于库项目（aar's）。构建库时，这将导致 false，因此即使使用该库的应用程序处于调试模式，此检查也会导致库代码中的 false。

【参考方案3】：

有不同的方法可以检查应用程序是使用调试证书还是发布证书构建，但以下方法对我来说似乎是最好的。

根据 Android 文档 Signing Your Application 中的信息，调试密钥包含以下主题可分辨名称：“CN=Android Debug,O=Android,C=US”。我们可以使用此信息来测试包是否使用调试密钥进行签名，而无需将调试密钥签名硬编码到我们的代码中。

给定：

import android.content.pm.Signature;
import java.security.cert.CertificateException;
import java.security.cert.X509Certificate;

您可以通过这种方式实现 isDebuggable 方法：

private static final X500Principal DEBUG_DN = new X500Principal("CN=Android Debug,O=Android,C=US");
private boolean isDebuggable(Context ctx)

    boolean debuggable = false;

    try
    
        PackageInfo pinfo = ctx.getPackageManager().getPackageInfo(ctx.getPackageName(),PackageManager.GET_SIGNATURES);
        Signature signatures[] = pinfo.signatures;

        CertificateFactory cf = CertificateFactory.getInstance("X.509");

        for ( int i = 0; i < signatures.length;i++)
           
            ByteArrayInputStream stream = new ByteArrayInputStream(signatures[i].toByteArray());
            X509Certificate cert = (X509Certificate) cf.generateCertificate(stream);       
            debuggable = cert.getSubjectX500Principal().equals(DEBUG_DN);
            if (debuggable)
                break;
        
    
    catch (NameNotFoundException e)
    
        //debuggable variable will remain false
    
    catch (CertificateException e)
    
        //debuggable variable will remain false
    
    return debuggable;

【讨论】：

为了帮助解决多个导入匹配，这里使用的类是java.security.cert.X509Certificate、java.security.cert.CertificateException和android.content.pm.Signature。所有其他课程都不会为我呈现多个匹配项

使用这些导入编辑了答案。谢谢！

在应用类的onCreate方法上运行是否足够高效？

我没有记下执行时间，但我一直在我的应用程序中使用它并且没有任何效率问题。

可以缓存结果以提高效率。

【参考方案4】：

如果你想静态检查APK，你可以使用

aapt dump badging /path/to/apk | grep -c application-debuggable

如果APK 不可调试，则输出0，如果是，则输出1。

【讨论】：

这是唯一的解决方案，用于验证最终的 apk。其他响应假定您有来源。

aapt 住在这里/Users/USER_NAME/library/Android/sdk/build-tools/28.0.3/aapt

【参考方案5】：

也许晚了，但 iosched 使用 BuildConfig.DEBUG

【讨论】：

现在可以安全使用吗？有一篇文章说它有一些问题：digipom.com/be-careful-with-buildconfig-debug

这是最好的答案！

如果你正在编写一个第三方库并且在编译时不知道 BuildConfig 的包。

Sam，你能详细说明一下吗？

【参考方案6】：

首先将其添加到您的 build.gradle 文件中，这也将允许同时运行调试和发布版本：

buildTypes 
    debug 
        applicationIdSuffix ".debug"
    

添加这个方法：

public static boolean isDebug(Context context) 
    String pName = context.getPackageName();
    if (pName != null && pName.endsWith(".debug")) 
        return true;
     else 
        return false;
    

【讨论】：

我更喜欢这个答案，因为它可靠。我确实需要在我的 Google Maps API 密钥中添加一个新的“允许的 Android 应用程序”条目（因为应用程序 ID 不同）。

我也使用过这个，但我建议删除 if 并返回 pName != null && pName.endsWith(".debug")

【参考方案7】：

调试版本也已签名，只是使用不同的密钥。它由 Eclipse 自动生成，证书有效期仅为一年。 android:debuggable 有什么问题？您可以使用 PackageManager 从代码中获取此值。

【参考方案8】：

另一个选项，值得一提。如果您需要仅在附加调试器时执行某些代码，请使用此代码：

if (Debug.isDebuggerConnected() || Debug.waitingForDebugger())  
    //code to be executed 

【参考方案9】：

已通过android:debuggable 解决。这是读取项目的错误，在某些情况下，项目上的调试标志没有存储在记录中，得到if (m.debug && !App.isDebuggable(getContext())) 总是评估为false。我的错。

【讨论】：

我知道这已经有一年多了，但是你应该接受@Omar Rehman 的回答，而不是这个。虽然您发布的内容是您最终所做的，但它并没有真正回答您提出的问题，而 Omar 的解决方案似乎做到了这一点，这意味着他应该得到认可。

@ChrisStratton 如果你认为我的回应是欺凌，我认为你没有太多阅读互联网。我支持您像您一样在评论中发表反对观点的权利，因此我已经审查了我的评论和这个问题中的其他帖子，我坚持我原来的评论：发帖人提出了一个合法的问题并由某人正确回答。根据他自己的“答案”，他最初的问题并不是他想问的...... APK 的签名（发布或调试）与清单的关系完全为零。

@ChrisStratton 也由提问者提出他/她想要回答的实际问题——在这种情况下没有做的事情。您是正确的，我在做出实际回答所发布内容的答案时忽略了，但是根本没有惩罚，只有我的意见的合理表达。如果您认为我在这里扮演恶霸，我强烈要求您将我的评论标记为滥用。但是，在此之前，您可能希望在此处检查您自己的帖子。

【参考方案10】：

我目前正在使用的 Kotlin 解决方案：

@SuppressLint("PackageManagerGetSignatures")
@Suppress("DEPRECATION")
fun isSigned(context: Context?): Boolean 
    return (context?.packageManager?.getPackageInfo(context.packageName, PackageManager.GET_SIGNATURES)?.signatures?.firstOrNull()?.toByteArray()
            ?.let 
                return@let CertificateFactory.getInstance("X.509").generateCertificate(ByteArrayInputStream(it))
             as? X509Certificate)
            ?.issuerDN
            ?.name
            ?.contains("O=Android", ignoreCase = false) ?: true

这样我仍然可以在调试中登录，并且这些将报告给 Crashlytics（例如，用于 QA 流程）