Assinatura e Verificação de Assinatura de Aplicativos Android

Assinatura de Aplicativos

Assinatura de Aplicativos é o processo através do qual um APK (Pacote Android) é assinado com uma chave privada que identifica exclusivamente o desenvolvedor do app. Esse processo garante que o app vem do desenvolvedor alegado sem ter sido adulterado após a assinatura. Aqui está uma visão detalhada do processo:

Gerando um Keystore

• Os desenvolvedores criam um keystore, um arquivo binário que contém chaves criptográficas. Este keystore contém uma chave privada que é usada para assinar o APK.
• O keystore é protegido por uma senha, que deve ser mantida segura para evitar acesso não autorizado.

Assinando o APK

• Durante ou após o processo de compilação, o APK é assinado usando a chave privada armazenada no keystore.
• Este processo gera uma assinatura digital por meio de uma função hash, criando um resumo único do conteúdo do APK.
• O resumo é então criptografado com a chave privada do desenvolvedor, e o resultado é armazenado dentro do APK.

Inclusão de Certificado

• O APK inclui um certificado contendo a chave pública correspondente à chave privada usada para assinatura.
• Este certificado é usado para verificar a assinatura digital durante o processo de instalação.

Por que a Assinatura de Aplicativos é Importante?

• Garante Autenticidade: Confirma a identidade do desenvolvedor do app.
• Protege a Integridade: Garante que o app não foi adulterado desde que foi assinado.
• Permite Atualizações Seguras: Garante que as atualizações venham do desenvolvedor original, já que as atualizações devem ser assinadas com a mesma chave.

Verificação de Assinatura

A Verificação de Assinatura é o processo pelo qual o sistema operacional Android verifica a assinatura digital de um APK para garantir sua integridade e autenticidade antes da instalação. Confira este post no Reddit sobre como verificar facilmente a assinatura/autenticidade de um APK e depois volte aqui para ler como a verificação funciona:

Extraindo o Certificado

Quando um APK é baixado e a instalação é iniciada, o dispositivo extrai o certificado contendo a chave pública do APK.

Descriptografando a Assinatura

• O dispositivo usa a chave pública extraída do certificado para descriptografar a assinatura digital embutida no APK.
• A descriptografia gera o hash original (resumo) que foi gerado durante o processo de assinatura.

Gerando o Hash

Independentemente, o dispositivo gera seu próprio hash do conteúdo do APK. Isso é feito usando a mesma função hash utilizada durante o processo de assinatura.

Comparando Hashes

• O dispositivo compara o hash gerado independentemente com o hash descriptografado da assinatura digital.
• Corresponde: Se os hashes coincidirem, o APK é verificado como autêntico e não adulterado, permitindo a instalação.
• Não Corresponde: Se os hashes não coincidirem, isso indica que o APK pode ter sido alterado desde que foi assinado, e a instalação é bloqueada.

Por que a Verificação de Assinatura é Importante?

• Valida Autenticidade: Assegura que o APK foi assinado pelo desenvolvedor declarado.
• Mantém a Integridade: Confirma que o APK não foi modificado desde que foi assinado.
• Protege Usuários: Bloqueia APKs potencialmente maliciosos de serem instalados.

Qual Assinatura Devo Escolher se um App Tiver Múltiplas Assinaturas?

Embora a maioria dos aplicativos tenha uma única assinatura válida, alguns podem ter mais. Você precisa comparar a assinatura do APK com a que já está instalada no seu dispositivo para evitar erros de atualização.

Motivos para Múltiplas Assinaturas

• Rotação de Chave: O Android 9 permite que os desenvolvedores alterem as chaves de assinatura. Isso se deve ao Esquema de Assinatura de APK v3.
• Canais de Distribuição: Apps de diferentes fontes (por exemplo, Play Store, Github) podem ter assinaturas diferentes.
• Apps do Sistema: As chaves de assinatura para apps do sistema podem variar de acordo com o dispositivo ou versão do SO.
• Casos Inexplicáveis: Alguns apps, como o Files e o Play services do Google, simplesmente têm múltiplas assinaturas.

Como Identificar a Assinatura Correta:

1. O AndroidFreeware possui um sofisticado Verificador de APK que realiza verificações de permissões Android, detecta flags e filtros perigosos, calcula checksums md5, sha1, sha256 e realiza verificações de antivírus VirusTotal.
2. Use ferramentas como o My APK para visualizar assinaturas de apps.
3. Use o método de Tentativa e Erro. Instale diferentes APKs até que a atualização funcione, então lembre-se da assinatura correta para atualizações futuras.
4. Faça o upload do app para o APKMirror usando o ML Manager para encontrar a assinatura existente.
5. Algumas ferramentas de desktop podem encontrar a assinatura de um arquivo APK. Entre elas estão o apksigner do Google, o keytool da IBM e o print-apk-signature de Warren Bank.

Índice

• O AndroidFreeware é seguro?
• O que é o Android OS?
• O que é um App/Jogo Android?
• O que é um Arquivo APK?
• Os arquivos APK são seguros e legais?
• O que são arquivos APK, pacotes APK e como abri-los com segurança?
• Como baixar e instalar arquivos APK ou pacotes APK?
• Assinatura de Aplicativos Android e verificação de assinatura
• Permissões Android: Os Perigos Ocultos e Como se Proteger
• Onde os arquivos APK são armazenados no meu dispositivo Android?
• Quais são os conteúdos de um arquivo APK?
• Os arquivos APK podem rodar em Chromebooks, Windows 10, PC, iOS?
• Por que um arquivo APK não está sendo instalado, aberto ou funcionando?