Иногда некоторые приложения на Android чем-то не устраивают пользователя. В качестве примера можно привести назойливую рекламу. А то бывает и так - всем хороша программа, да только перевод в ней или кривой, или вовсе отсутствует. Или, например, программа триальная, а получить полную версию возможности нет. Как же изменить ситуацию?
В этой статье мы поговорим о том, как разобрать пакет APK с приложением, рассмотрим его внутреннюю структуру, дизассемблируем и декомпилируем байт-код, а также попробуем внести в приложения несколько изменений, которые могут принести нам ту или иную выгоду.
Чтобы сделать все это самостоятельно, потребуются хотя бы начальные знания языка Java, на котором пишутся приложения для Android, и языка XML, который используется в Android повсеместно - от описания самого приложения и его прав доступа до хранения строк, которые будут выведены на экран. Также понадобится умение обращаться со специализированным консольным софтом.
Итак, что же представляет собой пакет APK, в котором распространяется абсолютно весь софт для Android?
В статье мы работали только с дизассемблированным кодом приложения, однако если в большие приложения вносить более серьезные изменения, разобраться в коде smali будет гораздо сложнее. К счастью, мы можем декомпилировать код dex в Java-код, который будет хоть и не оригинальным и не компилируемым обратно, но гораздо более легким для чтения и понимания логики работы приложения. Чтобы сделать это, нам понадобятся два инструмента:
Использовать их следует так. Сначала запускаем dex2jar, указывая в качестве аргумента путь до apk-пакета:
% dex2jar.sh mail.apk
В результате в текущем каталоге появится Java-пакет mail.jar, который уже можно открыть в jd-gui для просмотра Java-кода.
Пакет приложения Android, по сути, является обычным ZIP-файлом, для просмотра содержимого и распаковки которого никаких специальных инструментов не требуется. Достаточно иметь архиватор - 7zip для Windows или консольный unzip в Linux. Но это что касается обертки. А что внутри? Внутри же у нас в общем случае такая структура:
Перечисленные файлы и каталоги есть если не во всех, то, пожалуй, в абсолютном большинстве APK. Однако стоит упомянуть еще несколько не столь распространенных файлов/каталогов:
Этот каталог используют производители игр, помещая туда движок игры, написанный на C/C++, а также создатели высокопроизводительных приложений (например, Google Chrome). С устройством разобрались. Но как же получить сам файл пакета интересующего приложения? Поскольку без рута с устройства забрать файлы APK не представляется возможным (они лежат в каталоге /data/app), а рутить не всегда целесообразно, имеется как минимум три способа получить файл приложения на компьютер:
Какой из них использовать - дело вкуса; мы предпочитаем использовать отдельные приложения, поэтому опишем использование Real APK Leecher, тем более что написан он на Java и, соответственно, работать будет хоть в винде, хоть в никсах.
После запуска программы необходимо заполнить три поля: Email, Password и Device ID - и выбрать язык. Первые два - e-mail и пароль твоего гуглоаккаунта, который ты используешь на устройстве. Третий же является идентификатором устройства, и его можно получить, набрав на номеронабирателе код # #8255## и затем найдя строку Device ID. При заполнении надо ввести только ID без префикса android-.
После заполнения и сохранения нередко выскакивает сообщение «Error while connecting to server». Оно не имеет отношения к Google Play, поэтому смело его игнорируй и ищи интересующие тебя пакеты.
Допустим, ты нашел интересующий тебя пакет, скачал, распаковал… и при попытке просмотра какого-нибудь XML-файла с удивлением обнаружил, что файл не текстовый. Чем же его декомпилировать и как вообще работать с пакетами? Неужели необходимо ставить SDK? Нет, SDK ставить вовсе не обязательно. На самом деле для всех шагов по распаковке, модификации и упаковке пакетов APK нужны следующие инструменты:
Использовать все эти инструменты можно и по отдельности, но это неудобно, поэтому лучше воспользоваться более высокоуровневым софтом, построенным на их основе. Если ты работаешь в Linux или Mac OS X, то тут есть инструмент под названием apktool . Он позволяет распаковывать ресурсы в оригинальный вид (в том числе бинарные XML- и arsc-файлы), пересобирать пакет с измененными ресурсами, но не умеет подписывать пакеты, так что запускать утилиту signer придется вручную. Несмотря на то что утилита написана на Java, ее установка достаточно нестандартна. Сначала следует получить сам jar-файл:
$ cd /tmp $ wget http://bit.ly/WC3OCz $ tar -xjf apktool1.5.1.tar.bz2
$ wget http://bit.ly/WRjEc7 $ tar -xjf apktool-install-linux-r05-ibot.tar.bz2
$ mv apktool.jar ~/bin $ mv apktool-install-linux-r05-ibot/* ~/bin $ export PATH=~/bin:$PATH
Если же ты работаешь в Windows, то для нее есть превосходный инструмент под названиемVirtuous Ten Studio , который также аккумулирует в себе все эти инструменты (включая сам apktool), но вместо CLI-интерфейса предоставляет пользователю интуитивно понятный графический интерфейс, с помощью которого можно выполнять операции по распаковке, дизассемблированию и декомпиляции в несколько кликов. Инструмент этот Donation-ware, то есть иногда появляются окошки с предложением получить лицензию, но это, в конце концов, можно и потерпеть. Описывать его не имеет никакого смысла, потому что разобраться в интерфейсе можно за несколько минут. А вот apktool, вследствие его консольной природы, следует обсудить подробнее.
Рассмотрим опции apktool. Если вкратце, то имеются три основные команды: d (decode), b (build) и if (install framework). Если с первыми двумя командами все понятно, то что делает третья, условный оператор? Она распаковывает указанный UI-фреймворк, который необходим в тех случаях, когда ты препарируешь какой-либо системный пакет.
Рассмотрим наиболее интересные опции первой команды:
Пользоваться apktool очень просто, для этого достаточно указать одну из команд и путь до APK, например:
$ apktool d mail.apk
После этого в каталоге mail появятся все извлеченные и дизассемблированные файлы пакета.
Теория - это, конечно, хорошо, но зачем она нужна, если мы не знаем, что делать с распакованным пакетом? Попробуем применить теорию с пользой для себя, а именно модифицируем какую-нибудь софтину так, чтобы она не показывала нам рекламу. Для примера пусть это будет Virtual Torch - виртуальный факел. Для нас эта софтина подойдет идеально, потому что она под завязку набита раздражающей рекламой и к тому же достаточно проста, чтобы не потеряться в дебрях кода.
Итак, с помощью одного из приведенных способов скачай приложение из маркета . Если ты решил использовать Virtuous Ten Studio, просто открой APK-файл в приложении и распакуй его, для чего создай проект (File -> New project), затем в контекстном меню проекта выбери Import File. Если же твой выбор пал на apktool, то достаточно выполнить одну команду:
$ apktool d com.kauf.particle.virtualtorch.apk
После этого в каталоге com.kauf.particle.virtualtorch появится файловое дерево, похожее на описанное в предыдущем разделе, но с дополнительным каталогом smali вместо dex-файлов и файлом apktool.yml. Первый содержит дизассемблированный код исполняемого dex-файла приложения, второй - служебную информацию, необходимую apktool для сборки пакета обратно.
Первое место, куда мы должны заглянуть, - это, конечно же, AndroidManifest.xml. И здесь мы сразу встречаем следующую строку:
Нетрудно догадаться, что она отвечает за предоставление приложению полномочий на использование интернет-соединения. По сути, если мы хотим просто избавиться от рекламы, нам, скорее всего, достаточно будет запретить приложению интернет. Попытаемся это сделать. Удаляем указанную строку и пробуем собрать софтину с помощью apktool:
$ apktool b com.kauf.particle.virtualtorch
В каталоге com.kauf.particle.virtualtorch/build/ появится результирующий APK-файл. Однако установить его не получится, так как он не имеет цифровой подписи и контрольных сумм файлов (в нем просто нет каталога META-INF/). Мы должны подписать пакет с помощью утилиты apk-signer. Запустили. Интерфейс состоит из двух вкладок - на первой (Key Generator) создаем ключи, на второй (APK Signer) подписываем. Чтобы создать наш приватный ключ, заполняем следующие поля:
Остальные поля, в общем-то, необязательны - но необходимо заполнить хотя бы одно.
Чтобы подписать приложение с помощью apk-signer, ты должен установить Android SDK и указать полный путь до него в настройках приложения.
Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.
Теперь этим ключом можно подписать APK. На вкладке APK Signer выбираем только что сгенерированный файл, вводим пароль, алиас ключа и пароль к нему, затем находим файл APK и смело жмем кнопку «Sign». Если все пройдет нормально, пакет будет подписан.
Так как мы подписали пакет нашим собственным ключом, он будет конфликтовать с оригинальным приложением, а это значит, что при попытке обновить софтину через маркет мы получим ошибку.
Цифровая подпись необходима только стороннему софту, поэтому если ты занимаешься модификацией системных приложений, которые устанавливаются копированием в каталог /system/app/, то подписывать их не нужно.
После этого скидываем пакет на смартфон, устанавливаем и запускаем. Вуаля, реклама пропала! Вместо нее, однако, появилось сообщение, что у нас нет интернета или отсутствуют соответствующие разрешения. По идее, этого могло бы и хватить, но сообщение выглядит раздражающе, да и, если честно, нам просто повезло с тупым приложением. Нормально написанная софтина, скорее всего, уточнит свои полномочия или проверит наличие интернет-соединения и в противном случае просто откажется запускаться. Как быть в этом случае? Конечно, править код.
Обычно авторы приложений создают специальные классы для вывода рекламы и вызывают методы этих классов во время запуска приложения или одной из его «активностей» (упрощенно говоря, экранов приложения). Попробуем найти эти классы. Идем в каталог smali, далее com (в org лежит только открытая графическая библиотека cocos2d), далее kauf (именно туда, потому что это имя разработчика и там лежит весь его код) - и вот он, каталог marketing. Внутри находим кучу файлов с расширением smali. Это классы, и наиболее примечателен из них класс Ad.smali, по названию которого нетрудно догадаться, что именно он выводит рекламу.
Мы могли бы изменить логику его работы, но гораздо проще будет тупо убрать вызовы любых его методов из самого приложения. Поэтому выходим из каталога marketing и идем в соседний каталог particle, а затем в virtualtorch. Особого внимания здесь заслуживает файл MainActivity.smali. Это стандартный для Android класс, который создается Android SDK и устанавливается в качестве точки входа в приложение (аналог функции main в Си). Открываем файл на редактирование.
Внутри находится код smali (местный ассемблер). Он довольно запутанный и трудный для чтения в силу своей низкоуровневой природы, поэтому мы не будем его изучать, а просто найдем все упоминания класса Ad в коде и закомментируем их. Вбиваем строку «Ad» в поиске и попадаем на строку 25:
Field private ad:Lcom/kauf/marketing/Ad;
Здесь создается поле ad для хранения объекта класса Ad. Комментируем с помощью установки знака ### перед строкой. Продолжаем поиск. Строка 423:
New-instance v3, Lcom/kauf/marketing/Ad;
Здесь происходит создание объекта. Комментируем. Продолжаем поиск и находим в строках 433, 435, 466, 468, 738, 740, 800 и 802 обращения к методам класса Ad. Комментируем. Вроде все. Сохраняем. Теперь пакет необходимо собрать обратно и проверить его работоспособность и наличие рекламы. Для чистоты эксперимента возвращаем удаленную из AndroidManifest.xml строку, собираем пакет, подписываем и устанавливаем.
Наш подопытный кролик. Видна рекламаОп-па! Реклама пропала только во время работы приложения, но осталась в главном меню, которое мы видим, когда запускаем софтину. Так, подождите, но ведь точка входа - это класс MainActivity, а реклама пропала во время работы приложения, но осталась в главном меню, значит, точка входа другая? Чтобы выявить истинную точку входа, вновь открываем файл AndroidManifest.xml. И да, в нем есть следующие строки:
Они говорят нам (и, что важнее, андроиду) о том, что активность с именем Start должна быть запущена в ответ на генерацию интента (события) android.intent.action.MAIN из категории android.intent.category.LAUNCHER. Это событие генерируется при тапе на иконку приложения в ланчере, поэтому оно и определяет точку входа, а именно класс Start. Скорее всего, программист сначала написал приложение без главного меню, точкой входа в которое был стандартный класс MainActivity, а затем добавил новое окно (активность), содержащее меню и описанное в классе Start, и вручную сделал его точкой входа.
Открываем файл Start.smali и вновь ищем строку «Ad», находим в строках 153 и 155 упоминание класса FirstAd. Он тоже есть в исходниках и, судя по названию, как раз и отвечает за показ объявлений на главном экране. Смотрим дальше, идет создание экземпляра класса FirstAd и интента, по контексту имеющего отношение к этому экземпляру, а дальше метка cond_10, условный переход на которую осуществляется аккурат перед созданием экземпляра класса:
If-ne p1, v0, :cond_10 .line 74 new-instance v0, Landroid/content/Intent; ... :cond_10
Скорее всего, программа каким-то случайном образом вычисляет, нужно ли показывать рекламу на главном экране, и, если нет, перескакивает сразу на cond_10. Ок, упростим ей задачу и заменим условный переход на безусловный:
#if-ne p1, v0, :cond_10 goto:cond_10
Больше упоминаний FirstAd в коде нет, поэтому закрываем файл и вновь собираем наш виртуальный факел с помощью apktool. Копируем на смартфон, устанавливаем, запускаем. Вуаля, вся реклама исчезла, с чем нас всех и поздравляем.
Эта статья лишь краткое введение в методы вскрытия и модификации Android-приложений. За кадром остались многие вопросы, такие как снятие защиты, разбор обфусцированного кода, перевод и замена ресурсов приложения, а также модификация приложений, написанных с использованием Android NDK. Однако, имея базовые знания, разобраться во всем этом - лишь вопрос времени.
Благодаря функции подписания приложений в Google Play Google может управлять ключом подписи вашего приложения, а также защищать этот ключ и использовать его для подписи ваших APK-файлов, предназначенных для распространения. Этот способ хранения обезопасит вас на случай потери или взлома ключа.
Важно! Чтобы использовать наборы Android App Bundle (рекомендуемый формат публикации приложений), нужно зарегистрироваться в программе подписания приложений в Google Play перед загрузкой набора App Bundle в Play Console.
Регистрироваться могут владельцы аккаунтов и пользователи с глобальными разрешениями на управление рабочими версиями, которые приняли Условия использования . За раз в программе подписания приложений в Google Play можно зарегистрировать только одно приложение.
Когда вы используете функцию подписания приложений в Google Play, для хранения ваших ключей используется та же инфраструктура, что и для хранения ключей Google, а их защиту обеспечивает специальная служба управления ключами. Подробную информацию о технической инфраструктуре Google можно найти в документации по безопасности в Google Cloud .
Приложения для Android подписываются закрытым ключом. С каждым таким ключом связан открытый сертификат, с помощью которого устройства и сервисы могут убедиться в безопасности приложений и их обновлений. На устройства устанавливаются только те обновления, подпись которых соответствует подписи установленного приложения. Если вы позволите Google управлять ключом подписи приложения, этот процесс станет безопаснее.
Примечание. Использовать функцию подписания приложений в Google Play необязательно. Вы можете загружать APK-файлы и управлять собственными ключами, не используя наборы App Bundle. Однако если вы потеряете доступ к хранилищу ключей или оно будет взломано, то вы не сможете обновить свое приложение и вам придется опубликовать его заново с другим названием пакета.
Описания ключей, объектов и инструментовУсловия | Описание |
---|---|
Ключ подписи приложения |
Ключ, используемый в Google Play для подписи APK-файлов, доставляемых на устройство пользователя. При регистрации в программе подписания приложений в Google Play вы можете загрузить существующий ключ подписи или позволить Google сгенерировать новый. |
Ключ загрузки |
Сгенерировать ключ загрузки можно двумя способами:
|
Сертификат (.der или.pem) |
Сертификат, который содержит открытый ключ и дополнительную информацию о его владельце. Сертификат открытого ключа позволяет кому угодно узнать, кто подписал набор App Bundle или APK-файл. Этим сертификатом можно делиться, так как он не включает закрытый ключ. Чтобы зарегистрировать ключи у поставщиков API, вы можете скачать открытый сертификат для ключа подписи приложения на странице Подписание приложений в Play Console. Сертификатом открытого ключа можно делиться со всеми, так как он не включает закрытый ключ. |
Цифровой отпечаток сертификата |
Короткий и уникальный идентификатор сертификата. Отпечаток вместе с названием пакета часто запрашивают поставщики API для предоставления доступа к их услугам. Цифровые отпечатки MD5, SHA-1 и SHA-256 сертификатов загрузки и подписи приложения можно найти на странице Подписание приложений в Play Console. Вы также можете получить цифровой отпечаток другого типа. Для этого скачайте оригинальный сертификат в формате DER на той же странице. |
Хранилище ключей Java (.jks или.keystore) | Хранилище сертификатов безопасности и закрытых ключей. |
Инструмент PEPK |
Инструмент для экспорта закрытых ключей из хранилища Java и их шифрования для передачи в Google Play. Когда вы предоставите Google ключ подписи приложения, выберите экспорт и загрузку собственного ключа (и при необходимости – его открытого сертификата), а затем, следуя инструкциям, скачайте инструмент и воспользуйтесь им. Вы также можете скачать, посмотреть и использовать открытый исходный код инструмента PEPK. |
Вы можете загрузить APK-файлы, подписанные оригинальным ключом подписи приложения, до или после подписания приложения в Google Play.
Если вы переходите на наборы Android App Bundle, их можно проверить в версиях для тестирования, а в рабочих использовать существующие APK-файлы. Вот как это работает:
Примечание. Чтобы продолжить, нужно принять Условия использования и зарегистрироваться в программе подписания приложений.
Если в вашем приложении используется API, то чтобы пройти аутентификацию, вам, скорее всего, понадобится зарегистрировать сертификат ключа, с помощью которого Google подписывает ваше приложение. Чтобы найти сертификат:
Выпускаемые обновления приложения нужно подписывать ключом загрузки.
Вы можете создать ключ загрузки при регистрации в программе подписания приложений в Google Play или сгенерировать его позже в разделе Управление релизом > Подписи приложений .
Чтобы создать ключ загрузки, выполните следующие действия:
Когда в процессе выпуска появится соответствующий запрос, загрузите сертификат, чтобы зарегистрировать его в Google.
Создав ключ загрузки, проверьте и при необходимости обновите следующие местоположения:
В некоторых случаях вы можете запросить обновление ключа подписи приложения. Новый ключ будет использоваться для подписи новых установок и обновлений приложения, а устаревший – для обновлений подписанных им версий, которые уже установлены пользователями.
Для каждого приложения ключ подписи можно обновить только один раз. В маловероятном случае, когда вы используете один ключ подписи для нескольких приложений, чтобы запускать их в одном процессе, ключ нельзя обновить.
Запрашивать обновление ключа подписи приложения следует в таких случаях:
Примечание. Запрос на обновление ключа подписи приложения на Play Console не связан с заменой ключей в для Android P и более поздних версий. В настоящее время такая замена ключей не поддерживается Google Play.
Важные примечания про обновление ключейПрежде чем запрашивать обновление ключа, важно понять, какие изменения это повлечет.
Если вы потеряли доступ к закрытому ключу загрузки или он был взломан, и попросите владельца вашего аккаунта . При обращении в службу поддержки владелец аккаунта должен прикрепить файл upload_certificate.pem .
Когда команда службы поддержки зарегистрирует новый ключ загрузки, вы получите электронное письмо, а затем сможете обновить хранилища ключей и зарегистрировать ключ у поставщиков API.
Важно! Сброс ключа загрузки не затрагивает ключ подписи приложения, с помощью которого Google Play подписывает APK-файлы перед отправкой пользователям.
Эта информация оказалась полезной?
Как можно улучшить эту статью?
Утилита keytool, описанная в предыдущем разделе, создает цифровой сертификат, который является одним из параметров средства jarsigner. Другой параметр - это Android-пакет, который необходимо подписать. Чтобы сгенерировать Android-пакет, необходимо использовать утилиту Export Unsigned Application Package (Экспорт неподписанного пакета приложения) из модуля ADT для Eclipse. Для вызова этой утилиты понадобится щелкнуть в Eclipse правой кнопкой мыши на Android-проекте, выбрать в контекстном меню пункт Android Tools (Средства Android), а затем выбрать вариант Export Unsigned Application Package (Экспорт неподписанного пакета приложения). После запуска эта утилита генерирует.apk-файл, не подписанный с помощью отладочного сертификата.
Чтобы опробовать все это, запустите утилиту Export Unsigned Application Package для одного из своих Android-проектов и сохраните где-нибудь сгенерированный.apk- файл. В данном примере мы используем ранее созданную папку хранилища ключей и сгенерируем.apk-файл по имени C:\android\release\myappraw.apk.
Теперь у нас имеется.apk-файл и элемент хранилища ключей, и можно запустить инструментальное средство jarsigner, чтобы подписать.apk-файл (см. 14.2). При этом для файла хранилища ключей и.apk-файла должны быть указаны полные пути.
Для подписания.apk-файла утилите jarsigner передается местоположение хранилища ключей, пароль хранилища ключей, пароль секретного ключа, путь к.apk-файлу и псевдоним элемента хранилища ключей. После этого jarsigner подписывает.apk- файл с помощью цифрового сертификата из элемента хранилища ключей. Для запуска утилиты jarsigner нужно либо открыть окно инструментов (см. главу 2), либо открыть окно командной строки или окно Terminal (Терминал) и открыть папку bin в каталоге
JDK (если эта папка не прописана в переменной среды PATH). По соображениям безопасности пароли лучше не передавать в качестве аргументов команды, тогда jarsigner предложит ввести пароли во время выполнения. На рис. 14.3 показан пример вызова утилиты jarsigner. Вы могли заметить, что на рис. 14.3 утилита jarsigner запрашивает только один пароль. Это объясняется тем, что пароль keypass не запрашивается, если storepass и keypass совпадают. Строго говоря, команде jarsigner в е 14.2 необходимо указывать пароль -keypass только тогда, когда он отличается от пароля — storepass.
Как уже было сказано, Android требует подписания приложения цифровой подписью, чтобы злоумышленники-программисты не могли заменить ваше приложение своей версией. Для этого Android требует, чтобы обновления приложения были подписаны той же подписью, что и исходное приложение. Если приложение подписано другой подписью, Android считает такие приложения разными. Поэтому еще раз напоминаем: аккуратно обращайтесь с файлом хранилища ключей, чтобы он был доступен вам позже, когда понадобится выпускать обновление приложения.
Post Views: 5 618
Android Studio предоставляет широкие возможности как для разработки приложений, так и для повышения автоматизации и комфортности при программировании.
Если вы используете систему сборки Gradle для создания своих приложений, то вы можете также настроить несколько параметров для создания подписей к вашим приложениям.
Скорее всего, вам не хочется публиковать свои ключи для подписи, пароли и имена пользователей в публичном (или даже частном) репозитории. Поэтому вы можете определить ключ, пароль и имя пользователя как свойства в отдельном файле.
Перед тем, как начать подписание приложения, вам необходимо в файле gradle.properties создать новое свойство. Назовём его Keys.repo и, в качестве значения, укажем путь до папки, где впоследствии будут находиться хранилище ключей и файл со свойствами (например, C:/Users/UserName/.signing ).
Keys.repo=C:/Users/UserName/.signing
Затем нужно создать эту папку или, если вы указали существующую, открыть её. В ней необходимо создать файл YourProjectName.properties , внутри которого будут прописаны в качестве свойств путь до хранилища ключей, псевдоним ключа и пароль в следующем виде.
RELEASE_STORE_FILE=/YourProjectName/KeyStoreName.jks RELEASE_STORE_PASS=****** RELEASE_ALIAS=KeyAlias RELEASE_KEY_PASS=******
Если у вас нет хранилища ключей, его можно легко создать с помощью Android Studio. Для этого нужно выбрать в меню пункт Build
-> Generate Signed APK
.
В появившемся окне нужно нажать Create new... В результате откроется окно, в котором вы можете указать, где будет располагаться хранилище ключей (для данного урока лучше сразу выбрать путь, который вы указали в YourProjectName.properties в свойстве RELEASE_STORE_FILE ), а также данные о ключе.
Затем нужно создать папку YourProjectName и перенести туда нужный файл хранилища ключей.
Теперь можно приступить непосредственно к процессу подписания. Для этого в вашем проекте нужно открыть файл build.gradle (расположенный в папке app). Внутри него в блоке android нужно добавить следующий код.
SigningConfigs { debug { /* здесь никаких изменений нет */ } release { if (project.hasProperty("Keys.repo")) { def projectPropsFile = file(project.property("Keys.repo") + "/YourProjectName.properties") if (projectPropsFile.exists()) { Properties props = new Properties() props.load(new FileInputStream(projectPropsFile)) storeFile file(file(project.property("Keys.repo") + props["RELEASE_STORE_FILE"])) storePassword props["RELEASE_STORE_PASS"] keyAlias props["RELEASE_ALIAS"] keyPassword props["RELEASE_KEY_PASS"] } } else { println "=======================================================" println " - Please configure release-compilation environment - e.g. in ~/.signing directory" println "=======================================================" } } }
Существуют две схемы получения подписи APK: v1 JAR и v2 Full APK .
В первом случае подписывается JAR -файл, что является традиционным способом подписания. Подпись v1 не защищает некоторые части APK, такие как метаданные ZIP. Верификатор APK должен обрабатывать множество ненадёжных (ещё не проверенных) структур данных, а затем отбрасывать данные, которые не подписаны, что предоставляет большой простор для атаки. Кроме того, верификатор APK должен распаковать все сжатые записи, что тратит много времени и памяти. Чтобы решить эти проблемы, была разработана вторая схема v2 Full APK.
Схема v2 была представлена в Android 7.0 Nougat (API 25) и работает, начиная с версии Android Studio 2.2 и Android Gradle plugin 2.2 . Эта схема обеспечивает более быструю установку приложения и хорошую защиту от несанкционированных изменений в APK. Содержимое APK хешируется и подписывается, затем полученный блок подписи APK вставляется в APK.
Во время проверки схема v2 рассматривает APK как blob и выполняет проверку подписи по всему файлу. Любая модификация APK, включая модификации метаданных ZIP, делает подпись недействительной. Эта форма проверки значительно быстрее и позволяет обнаружить больше несанкционированных модификаций.
Новый формат обратно совместим, поэтому APK, подписанные новой схемой, могут быть установлены на более ранних устройствах (которые будут просто игнорировать новую подпись), если эти APK также подписаны схемой v1.
По умолчанию при подписании используются обе схемы, чтобы приложения могли быть установлены на любых устройствах. Однако если есть такая необходимость, можно отключить подпись v1 или v2. Для этого в вышеприведённом коде в блоке release достаточно дописать следующие строки.
V1SigningEnabled false
V2SigningEnabled false
Важно также учитывать, что подписывать схемой v1 нужно до подписания схемой v2, поскольку APK не пройдёт проверку по схеме v2, если он будет подписан дополнительными сертификатами после подписания схемой v2.
После того, как код добавлен, укажите этот код в блоке buildTypes внутри release . Например:
BuildTypes { release { minifyEnabled true shrinkResources true proguardFiles getDefaultProguardFile("proguard-android.txt"), "proguard-rules.pro" signingConfig signingConfigs.release } }
Теперь можно смело в пункте меню Build выбирать Build APK , предварительно сменив тип сборки с debug на release . Как видно, данный способ удобен тем, что он автоматический, его достаточно настроить лишь раз и ваши хранилища ключей могут быть в безопасности.
Итак, вы трудились много дней (а может и ночей), и вот ваше первое гибридное мобильное приложение готово. Оно достаточно стабильно, большинство критичных багов закрыто. Остались мелкие, но помня о том, что перфекционизм - зло, вы принимаете волевое решение выложить приложение.
Необходимое условие для этого - наличие подписанного APK файла. Как подписать apk файл, вы узнаете из этой статьи.
$ cordova plugin rm cordova-plugin-console
Для генерации релизной сборки под Андроид используем команду build
с флагом --release
:
$ cordova build --release android
Эта команда создаст неподписанный
APK файл в каталоге:
Platforms/android/build/outputs/apk
Например, platforms/android/build/outputs/apk/android-release-unsigned.apk
. Потом нам понадобится подписать этот файл и запустить утилиту zipalign
для оптимизации и подготовки файла для Google Play.
Для подписывания файла нужен сертификат. Создадим его с помощью утилиты keytool , которая включена в JDK:
$ keytool -genkey -v -keystore lcf.keystore -alias lcf -keyalg RSA -keysize 2048 -validity 10000
Важно
Значение параметра -alias необходимо запомнить, а лучше записать. В примере выше он равен lcf (по первым буквам названия приложения Loyal Client Free). Детали здесь приводить не буду, если будет интересно, напишите в комментарии, я расскажу подробнее.Алиас используется каждый раз при подписывании* приложения. Чтобы было проще запомнить, в качестве алиаса используйте имя keystore файла, например:
Утилита keytool задает ряд вопросов. Всего их будет 8. Чтобы заранее иметь представление о вопросах и примерных ответах, все они приведены далее, под спойлером.
Вопросы keytool и примерные ответы на них
1. Enter keystore password:
Здесь необходимо ввести пароль для файла (не менее 6 символов). Введенный пароль нужно записать в надежном месте, он нужен всякий раз при подписывании приложения.
2. Re-enter new password:
Повторный ввод пароля.
3. What is your first and last name?
: Ivan Petrov
Ваше имя и фамилия. Значение в квадратных скобках - это значение по умолчанию.
4. What is the name of your organizational unit?
: IT
Название подразделения вашей компании. Можно оставить пустым, я указываю IT.
5. What is the name of your organization?
: 2developers
Название вашей организации. Укажите, если есть.
6. What is the name of your City or Locality?
: Moscow
Название города
7. What is the name of your State or Province?
: MO
Название области
8. What is the two-letter country code for this unit?
: RU
Код страны. Я указываю RU.
: y
Подтверждайте, если все верно или нажмите Enter, чтобы ввести еще раз.
Generating 2 048 bit RSA key pair and self-signed certificate (SHA256withRSA) with a validity of 10 000 days
for: CN=Ivan Petrov, OU=IT, O=2developers, L=Moscow, ST=MO, C=RU
Enter key password for
В текущем каталоге будет создан файл lcf.keystore
.
Важно
Созданный файл нужно сохранить в надежном месте. Если вы используете закрытый репозиторий, то файл можно закоммитить вместе с исходными кодами приложения. В общем случае, сертификаты лучше хранить отдельно. В случае утери сертификата вы не сможете выпускать обновления приложения.
Чтобы подписать ваш apk файл, используйте утилиту jarsigner , которая тоже включена в JDK.
$ jarsigner -verbose -sigalg SHA1withRSA -digestalg SHA1 -keystore lcf.keystore android-release-unsigned.apk lcf
Имя сертификата указывается после параметра -keystore
, алиас - после имени файла.
Наконец, для оптимизации apk файла, воспользуемся утилитой zipalign :
$ zipalign -v 4 android-release-unsigned.apk LoyalClientFree.apk
Последний параметр - это имя файла, который вы будете загружать в Google Play.
Важно.
Утилита zipalign это часть Android SDK Tools и может быть найдена здесь:/path/to/Android/sdk/build-tools/VERSION/zipalign