在不发布应用的情况下添加 Google Play“安全元数据”

Posted 2023-04-15

【中文标题】在不发布应用的情况下添加 Google Play“安全元数据”

【英文标题】：Add Google Play "security metadata" without publishing an app

【发布时间】：2018-12-05 23:46:54

【问题描述】：

最近，Google 引入了security metadata，该security metadata 添加到上传到 Google Play 的每个应用程序中。我们曾经有一个篡改保护，它在运行时计算应用程序的签名（哈希），并检查它是否等于在发布期间计算的哈希。这多年来一直运行良好，但现在 GP 正在通过添加安全元数据来修改应用程序的二进制文件。

有没有办法完全禁用 GP 安全元数据？ 有没有办法在不发布的情况下从商店检查（下载）修改过的 APK？测试版中的应用似乎没有被修改，所以这个解决方案不起作用。

【参考方案1】：

无法禁用 Google Play 安全元数据。 不发布应用就无法获取 Alpha 和 Beta 通道中的 APK 已修改（或应该修改），但前提是它们是在计划开始日期（2018 年 6 月 19 日 12:00 UTC）之后上传的。但是，APK 在 Beta 版和生产版中会有不同的元数据。 散列解决方案将继续工作，但不是散列整个文件的解决方案。您可以考虑的替代方法包括散列 zip 条目或散列 classes.dex 文件。这些方法适用于其他开发者。

如果您偶尔可以在线访问（如果您正在检查哈希，我假设您这样做），另一个可行的选项是使用SafetyNet attestation API 检查您的应用程序，并在服务器上离线验证签名。同样，许多大牌开发者都成功地使用了它。

【讨论】：

嗨尼克。正如您所指出的，我们对整个文件进行哈希处理。我们正在考虑切换到散列 DEX 和关键资源文件，但这种更改对我们来说将是非向后兼容的 :( 散列不仅用作 DRM，而且还用作许多其他内部安全功能的组件。你能解释一下我们可以散列什么样的 ZIP 条目而不是整个 APK/ZIP？

没有更改任何 zip 条目。正如块帖子所说，元数据被添加到 APK 签名块中，因此每个单独的文件都与开发人员发送的完全相同。要了解更多信息，请参阅source.android.com/security/apksigning/v2 所以只有 APK 的整个文件哈希会破坏 - 其他任何内容的哈希都不会改变

【参考方案2】：

抱歉，不直接回答您的问题，但无论如何发布以防万一您或其他任何人在同一情况下：您是否考虑过验证 APK 的签名，而不是检查哈希？ Apksig 是一个开源库，可以让您以更强大的方式获得类似的结果。

【讨论】：

您好，我们还验证了应用的签名，但这还不足以满足我们的需求。