Vérification d'un fichier APK à l'aide de JarSigner

Question

Je souhaite vérifier un fichier APK à partir du code Java à l'aide de JarSigner. Je vous écris une application qui installe programatically APK (un peu comme Google Play) et avant de l'installer vérifie les points suivants:

• Vérifiez la signature du fichier .SF itself.Verify le résumé dans la liste chaque entrée dans la Fichier .SF avec chaque section correspondante dans le manifeste .
  Vérifiez le condensé répertorié dans chaque entrée du fichier .SF avec chaque section correspondante dans le manifeste.
  Lit chaque fichier dans le fichier JAR qui a une entrée dans le fichier .SF. Pendant la lecture, calcule le condensé du fichier, puis compare le résultat avec le résumé pour ce fichier dans la section manifeste.

Cela est beaucoup comme la course jarsigner avec option -verify sur la ligne de commande

j'ai regardé la documentation Java, je pense que je pourrais utiliser l'API pour JarSigner.verifyJar() this.But ce n'est pas méthode publique. Est-ce que quelqu'un a essayé de vérifier l'APK du code Java? Appréciera n'importe quels indicateurs.

Answer 1

Vous pouvez obtenir votre signature comme ceci:

PackageInfo packageInfo = context.getPackageManager().getPackageInfo(
    context.getPackageName(), PackageManager.GET_SIGNATURES); 

List<String> list = new ArrayList<>(); 

for (Signature signature : packageInfo.signatures) { 
    MessageDigest md = MessageDigest.getInstance("SHA"); 
    md.update(signature.toByteArray()); 
    final String currentSignature = Base64.encodeToString(md.digest(), Base64.DEFAULT); 
    list.add(currentSignature); 
} 

Découvrez this article pour plus de détails.