Kilka dni temu zamęczyłem @m0bi13 pytaniami o weryfikację pobieranych poza oficjalnymi sklepami plików APK. Dialog zakończyliśmy bez konkluzji, bo prawdopodobnie nie potrafiłem wytłumaczyć, o co dokładnie mi chodzi. Tymczasem kilka minut grzebania w internetach i parę komend w terminalu i już wiem co i jak. cdn
Problem z ustaleniem autentyczności pobranej „bokiem” po raz pierwszy* apki wynika z tego, że certyfikat do klucza, którym wydawca apki ją podpisuje ją, jest samopodpisany. Taki certyfikat na dane (Subject, Issuer) bez łączności z globalnym PKI (jak w przeglądarkach) może wystawić sobie każdy (MITM jak malowany).
* system opiera się o TOFU (jak SSH) aktualizacja muszą być podpisane tym samym kluczem co stara wersja.
@m0bi13 @bosmichal @wnm210 @andyy @arkd @warroza @pawel_kuzia
@steelman @m0bi13 @bosmichal @wnm210 @andyy @arkd @warroza @pawel_kuzia
Poza aktualizacjami istnieje jeszcze jedno zastosowanie tej pary kluczy: aplikacja może traktować inne aplikacje podpisane tym samym (lub explicity podanym) kluczem specjalnie (p. signature i knownSigner w https://developer.android.com/guide/topics/manifest/permission-element.html#plevel).
