android7.0應用安裝失敗的問題

yangxi_001發表於2017-09-15
Android

背景

APK Signature Scheme v2官方介紹

Android 7.0 引入一項新的應用簽名方案 APK Signature Scheme v2,它能提供更快的應用安裝時間和更多針對未授權 APK 檔案更改的保護。在預設情況下,Android Studio 2.2 和 Android Plugin for Gradle 2.2 會使用 APK Signature Scheme v2 和傳統簽名方案來簽署您的應用。

如果您使用 APK Signature Scheme v2 簽署您的應用,並對應用進行了進一步更改,則應用的簽名將無效。出於這個原因,請在使用 APK Signature Scheme v2 簽署您的應用之前、而非之後使用 zipalign 等工具。

官方關於v2的詳細介紹:https://source.android.com/security/apksigning/v2.html

渠道或者開發者關於渠道包的解決方案

目前主流的渠道號方案主要有以下幾種:

  1. 修改後重新打包或簽名的,例如在AndroidMainfest裡面新增mata-data等

  2. 修改後不需要重新簽名,主要有兩種:

    • 直接把apk包看成一個zip包,然後在zip包的註釋段新增對應的渠道資訊
    • 直接把apk包看成一個zip包,然後利用相關命令在META-INF內注入${channel}.txt 檔案

其中下面兩種不需要重新簽名的方法,被各主要渠道廣泛使用。

渠道包與V2簽名的衝突

然而,為了提高Android系統的安全性,Google從Android N增強了簽名模式,該模式在原有的簽名模式上,增加校驗APK的SHA256雜湊值;這種新引入的簽名機制,會對整個檔案的每個位元組都會做校驗,包括 comment 區域。如果簽名後對APK作了任何修改,例如上面提到的修改註釋段或者注入檔案,在Android 7.0以上的機型安裝時都會校驗失敗,提示沒有簽名無法安裝。

解決方案

為了解決使用V2引起的問題,官方提供了不啟用V2簽名的方法,但是隨著Android越來越完善,這種方案最終肯定是要全面使用的。目前已經有團隊找到了基於V2簽名的新的渠道號方案,由於種種原因,暫時不詳細論述怎麼實現。這裡僅提供其餘的解決方案:

怎麼禁用V2簽名

對於怎麼禁用V2簽名,官方提供了對應的方法,下文內容為禁用方法

雖然我們建議您對您的應用採用 APK Signature Scheme v2,但這項新方案並非強制性的。如果您的應用在使用 APK Signature Scheme v2 時不能正確開發,您可以停用這項新方案。禁用過程會導致 Android Studio 2.2 和 Android Plugin for Gradle 2.2 僅使用傳統簽名方案來簽署您的應用。要僅用傳統方案簽署,開啟模組級 build.gradle 檔案,然後將行 v2SigningEnabled false 新增到您的版本簽名配置中:

  android {
    ...
    defaultConfig { ... }
    signingConfigs {
      release {
        storeFile file("myreleasekey.keystore")
        storePassword "password"
        keyAlias "MyReleaseKey"
        keyPassword "password"
        v2SigningEnabled false
      }
    }
  }

官方說明對應地址:https://developer.android.google.cn/about/versions/nougat/android-7.0.html

怎麼檢查一個apk是否使用了V2簽名以及V2校驗是否通過

對於渠道SDK的開發者或者渠道來說,如果開發者上傳的應用V2簽名校驗不能通過的話,那將是非常嚴重的問題,這樣的安裝包在Android 7.0以上版本的機器上是完全無法安裝的。目前官方提供了校驗一個apk簽名校驗是否通過的工具。

除了官方沒有提供的工具。通過閱讀原始碼發現在ApkSignatureSchemeV2Verifier.java裡面也有對應的邏輯實現,目前個人已經把對應程式碼遷移出來製作了獨立的工具提供使用。

工具下載

使用事例

  • 檢視幫助

        java -jar CheckAndroidV2Signature.jar

  usage: java -jar ./CheckAndroidV2Signature.jar [--version] [--help] [filePath]
	
  such as:
	
       java -jar ./CheckAndroidV2Signature.jar --version
       java -jar ./CheckAndroidV2Signature.jar --help
       java -jar ./CheckAndroidV2Signature.jar ./test.apk
	
  after check,the result will be a string json such as:
	
       {"ret":0,"msg":"ok","isV2":true,"isV2OK":true}
	
       ret: result code for check
	
           0 : command exec succ
           -1 : file not found
           -2 : file not an Android APK file
           -3 : check File signature error ,retry again
	
       msg: result msg for check
       isV2: whether the file is use Android-V2 signature or not
       isV2OK: whether the file's Android-V2 signature is ok or not

  • 檢視版本

        java -jar ./CheckAndroidV2Signature.jar --version
  com.tencent.ysdk.CheckAndroidV2Signature version 1.0.1 (CheckAndroidV2Signature - 2)
  homepage : https://github.com/bihe0832/AndroidGetAPKInfo
  blog : http://blog.bihe0832.com
  github : https://github.com/bihe0832

  • 檢視應用資訊

        java -jar ./CheckAndroidV2Signature.jar ./YSDK_Android_1.3.1_629-debug-ysdktest-inner.apk
  {"ret":0,"msg":"ok","isV2":false,"isV2OK":false}

原始碼地址:

相關文章