很久没用 android 了,鉴于 wp 已经没有下文,最近开始用 android 备机。今天下载 apk 时遇到了怪事。
在 coolapk 上下载了 bluegogo 的 apk ,然后发现官方网站上也有 https 的下载链接,结果 coolapk 的下载链接 SmartScreen 报告不安全(微软管得真宽...),然后安装了 coolapk 上的后,官方的装不上,具体错误系统没有说明,但卸载 coolapk 上的后,安装官网下载的可以安装使用。猜测就是两者签名不一致, 但手边暂时没有工具验证。
然后发现,先安装官网的 apk ,再安装 coolapk 下载的 apk ,居然装上了,反过来不行
coolapk 上面的下载链接经过一个 302 最终跳转到:
http://uc1-apk.wdjcdn.com/2/d8/d828531e08226b7134e036a667111d82.apk
官网的下载链接:
https://static.bluegogo.com/static/apk/app-bgg-release.apk
听说 Android 有个 Masterkey 漏洞,不知道我是不是遇到了?!系统是 kitkat 又联想到很久之前某应用助手更新的一个 apk ,把系统的音乐应用(厂家自己开发的应用)都给替换了...
#烦的原因
-
部分 app 市场没有使用 ssl ,然后下载链接被跳转到一些奇奇怪怪的服务器。以前也觉得没什么,可有一次下载一个 exe ,官方是有数字签名的但无 https ,最后下载的文件不知道是什么东西,反正没有数字签名,也没敢安装。
-
就算有 ssl ,也不敢保证这个 apk 是官方发布的。 windows 的数字签名的话,可以直接看到二进制文件的签名证书链。而 apk 虽然可以使用 jarsigner 看证书,但 android 本身似乎没有办法方便地看 apk 的证书(可能有但我不知道),而且 apk 可以使用自签名的证书,方便开发者,但是要验证是不是“正版”就麻烦了。
正常情况下在 play store 下载倒没什么,但是没有 play 从第 3 方下载就蒙了。 最后,还是微软大法好啊,不用管 http 带不带 s ,反正最后没有数字签名的程序我都不直接运行的。
Select Language