很久没用 android 了,鉴于 wp 已经没有下文,最近开始用 android 备机。今天下载 apk 时遇到了怪事。
在 coolapk 上下载了 bluegogo 的 apk ,然后发现官方网站上也有 https 的下载链接,结果 coolapk 的下载链接 SmartScreen 报告不安全(微软管得真宽...),然后安装了 coolapk 上的后,官方的装不上,具体错误系统没有说明,但卸载 coolapk 上的后,安装官网下载的可以安装使用。猜测就是两者签名不一致, 但手边暂时没有工具验证。
然后发现,先安装官网的 apk ,再安装 coolapk 下载的 apk ,居然装上了,反过来不行
coolapk 上面的下载链接经过一个 302 最终跳转到:
http://uc1-apk.wdjcdn.com/2/d8/d828531e08226b7134e036a667111d82.apk
官网的下载链接:
https://static.bluegogo.com/static/apk/app-bgg-release.apk
听说 Android 有个 Masterkey 漏洞,不知道我是不是遇到了?!系统是 kitkat 又联想到很久之前某应用助手更新的一个 apk ,把系统的音乐应用(厂家自己开发的应用)都给替换了...
#烦的原因
部分 app 市场没有使用 ssl ,然后下载链接被跳转到一些奇奇怪怪的服务器。以前也觉得没什么,可有一次下载一个 exe ,官方是有数字签名的但无 https ,最后下载的文件不知道是什么东西,反正没有数字签名,也没敢安装。
就算有 ssl ,也不敢保证这个 apk 是官方发布的。 windows 的数字签名的话,可以直接看到二进制文件的签名证书链。而 apk 虽然可以使用 jarsigner 看证书,但 android 本身似乎没有办法方便地看 apk 的证书(可能有但我不知道),而且 apk 可以使用自签名的证书,方便开发者,但是要验证是不是“正版”就麻烦了。
正常情况下在 play store 下载倒没什么,但是没有 play 从第 3 方下载就蒙了。 最后,还是微软大法好啊,不用管 http 带不带 s ,反正最后没有数字签名的程序我都不直接运行的。
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.