0 votes

Mikhail Morfikov avatar

Comment calculer/vérifier le SHA-256-Digest du fichier META-INF/*.SF ?

Demandé el 14 de Décembre, 2019
Quand la question a-t-elle été
1177 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Ouvert
Situation réelle de la question

J'essaie de vérifier manuellement un Fichier APK de la manière dont Android le ferait si un tel fichier était installé sur un vieux système (<7). J'ai un problème que je ne peux pas vraiment résoudre.

Ils disent les suivantes :

Comme vous pouvez le voir, le fichier de signature contient des entrées digest pour les éléments suivants qui ressemblent aux entrées digest-value du manifeste. manifest. Cependant, alors que les valeurs d'empreinte dans le manifeste sont sont calculées à partir des fichiers eux-mêmes, les valeurs numériques du fichier de signature sont calculées à partir des entrées correspondantes dans le manifeste.

Donc, dans ce cas, nous avons un exemple d'entrée dans la section META-INF/MANIFEST.MF qui est le suivant :

Name: FingerprintProtocol.proto
SHA-256-Digest: WQ9R/MGV5m9Dye4Jtl3MiLRmX2RPoEPeinb3me7wnAU=

Maintenant, nous prenons l'entrée correspondante dans le META-INF/*.SF qui ressemble à ceci :

Name: FingerprintProtocol.proto
SHA-256-Digest: fWL5eppUj0x6UVdPqHusFkpDbXpq7P0sqchfublqEnA=

La question est : comment fWL5eppUj0x6UVdPqHusFkpDbXpq7P0sqchfublqEnA calculé ?

Demandé el 14 de Décembre, 2019 par Mikhail Morfikov

Réponses

Trop de publicités?

0voto

pr0nin avatar
pr0nin Points 353

Vous essayez de vérifier l'APK en utilisant l'ancienne et dépassée signature JAR (aka APK signature scheme v1). Ce type de signature est obsolète pour Android car il existe certains scénarios d'attaque dans lesquels un fichier existe plusieurs fois dans le fichier APK/ZIP.

Par conséquent, lorsque vous vérifiez un fichier APK, vous devez vous fier au schéma de signature de l'APK. v2 / v3 si elle est présente dans le fichier APK. Le processus de vérification actuel est documenté ici : Processus de vérification de la signature APK

Le SDK Android est livré avec un outil appelé apksigner.jar (peut également être utilisé comme dans ses propres programmes Java ) qui permet de vérifier un fichier APK en utilisant la méthode la plus récente disponible.

Pour plus de détails sur apksigner et comment l'utiliser, voir cette réponse : https://Android.stackexchange.com/a/218161/2241

Répondu el 15 de Décembre, 2019 par pr0nin (353 Points )

0voto

Mikhail Morfikov avatar
Mikhail Morfikov Points 333

On dirait que la section comprend des espaces blancs et pas seulement le texte. Le code entier qui devrait être haché est le suivant :

enter image description here

Répondu el 15 de Décembre, 2019 par Mikhail Morfikov (333 Points )

Questions connexes

Questions en vedette

Top Tags

Dans notre réseau

androidalle.com

AndroidAlle est une communauté de androiders où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X