Question

Недавно Google представил метаданные безопасности , которые добавляются к каждому приложению, загруженному в Google Play. Раньше у нас была защита от несанкционированного доступа, которая вычисляла сигнатуру приложения (хэш) во время выполнения и проверяла, равен ли он хэшу, вычисленному во время выпуска. Это работало хорошо в течение многих лет, но теперь GP изменяет двоичный файл приложения, добавляя метаданные безопасности.

Есть ли способ вообще отключить метаданные безопасности GP?
Есть ли способ проверить (скачать) модифицированный APK из магазина, не публикуя его? Похоже, что приложения в бета-каналах не изменены, поэтому это решение не работает.

Nick Fortescue · Answer 1 · 28 июня 2018

Невозможно отключить метаданные безопасности Google Play.
Нельзя получить без публикации приложения
APK в альфа и бета каналах изменяются (или должны быть изменены), но только если они были загружены после даты начала программы (2018-06-19 12:00 UTC). Тем не менее, APK будет иметь разные метаданные, когда он находится в бета-версии, и когда он находится в производстве.
Решения для хеширования продолжат работать, но не те, которые хешируют весь файл. Альтернативы, которые вы могли бы рассмотреть, включают хеширование zip-записей или хэширование файлов classes.dex. Эти методы успешно работают для других разработчиков.

Другой вариант, который работает, если вы время от времени имеете онлайн-доступ (который я предполагаю, что вы делаете, если вы проверяете хеш), - это использование API аттестации SafetyNet для проверки вашего приложения и проверки подписи в автономном режиме на сервер. Опять же, многие известные разработчики используют это успешно.

Pierre · Answer 2 · 27 июня 2018

Не отвечаю напрямую на ваши вопросы, извините, но в любом случае отправляю сообщения, если это поможет вам или кому-либо еще в том же случае: вместо проверки хеша вы рассматривали проверку подписи APK? Apksig - это библиотека с открытым исходным кодом, которая позволит вам достичь аналогичного результата более надежным способом.

Добавьте в Google Play «метаданные безопасности» без публикации приложения

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Добавьте в Google Play «метаданные безопасности» без публикации приложения

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы