Wo finde ich Checksummen von Programmen aus dem US-Market?

Gelöschter Account

Forum-Beiträge: 616

26.08.2010, 19:33:59 via Website

26.08.2010 19:33:59 via Website

Ich wollte mir [app]Google Chrome to Phone[/app] in Version 2.0.0 installieren. Das gibt es aber im deutschen Market noch nicht :mad:

Das Archiv "Chrome to Phone 2.0.0.apk" findet sich per Web-Suche problemlos.
Aber wie verifiziere ich, ob ich wirklich das Archiv von Google habe?

Gibt es Checksummen von Programmen aus dem Android-Market?

Antworten

Stefan Medack

Forum-Beiträge: 206

26.08.2010, 22:43:06 via Website

26.08.2010 22:43:06 via Website

Es gibt schon die 2.0er? Kann ich kaum glauben, weil wenn du auf http://code.google.com/p/chrometophone/downloads/list gehst ist hier noch 1,7 als pre release. Auf jedenfall kannst du sicher gehen, dass du die richtige Version hast, wenn du von code.google.com lädst;)

Antworten

Gelöschter Account

Forum-Beiträge: 5.136

26.08.2010, 23:15:21 via Website

26.08.2010 23:15:21 via Website

Stefan M.

Es gibt schon die 2.0er? Kann ich kaum glauben, weil wenn du auf http://code.google.com/p/chrometophone/downloads/list gehst ist hier noch 1,7 als pre release. Auf jedenfall kannst du sicher gehen, dass du die richtige Version hast, wenn du von code.google.com lädst;)

Jetzt musste ich gerade heftigst lachen ...

Ich hab mir gerade mal die Version 1.7 von Google die Du verlinkt hast Stefan genauer angesehen und danach eine Version 2.0.0 die ich über Google Sucher bei Mediafire zum downloaden fand.

Der Gag ist nun, die Version 1.7, von Code.google.com hat folgendes in der Manifest.MF stehen:

Manifest-Version: 1.0
Created-By: 1.6.0_20 (Apple Inc.)

Wohingegen bei der 2.0.0 drinnen steht ...

Manifest-Version: 1.0
Created-By: 1.0 (Android SignApk)

Apple Inc. is ja schon ein Hammer ..... auch wenn das jetzt nicht viel aussagt ..

— geändert am 26.08.2010, 23:19:33

lg Voss

Antworten

Stefan Medack

Forum-Beiträge: 206

27.08.2010, 00:06:59 via Website

27.08.2010 00:06:59 via Website

Jörg V.

Apple Inc. is ja schon ein Hammer ..... auch wenn das jetzt nicht viel aussagt ..

Habs gerade mal selber nachgeschaut und es stimmt. Fragt sich jetzt nur was das da drin zu suchen hat. Wurde die Apk vllt auf nem MacBook gebuildet oder wieso steht da Apple Inc.

Antworten

San Blarnoi

Forum-Beiträge: 2.545

27.08.2010, 00:12:31 via Website

27.08.2010 00:12:31 via Website

Müsste hier nicht die Signierung ins Spiel kommen?
Ich meine, wenn Hartmut eine offizielle Version aus dem Market installiert hat und dann versucht, die 2.0 drüber zu installieren, dann müsste der Vorgang mit einer entsprechenden Meldung scheitern, wenn die beiden Apps nicht mit dem gleichen Key signiert sind, oder übersehe ich da etwas?

Antworten

Stefan Medack

Forum-Beiträge: 206

27.08.2010, 00:14:14 via Website

27.08.2010 00:14:14 via Website

Ich hab gerade in nem andern Forum gelesen, dass sich die 2.0er nicht einfach rüber installieren lässt. Also muss die ja anders signiert sein....

Antworten

San Blarnoi

Forum-Beiträge: 2.545

27.08.2010, 01:13:01 via Website

27.08.2010 01:13:01 via Website

...und ich hab sie am 17.8. (laut AppMonster) als reguläres Update aus dem Market erhalten, also muß es eine geben, die wie der Vorgänger signiert ist

Antworten

Gelöschter Account

Forum-Beiträge: 616

29.08.2010, 15:07:33 via Website

29.08.2010 15:07:33 via Website

and dev

Müsste hier nicht die Signierung ins Spiel kommen?
Ich meine, wenn Hartmut eine offizielle Version aus dem Market installiert hat und dann versucht, die 2.0 drüber zu installieren, dann müsste der Vorgang mit einer entsprechenden Meldung scheitern, wenn die beiden Apps nicht mit dem gleichen Key signiert sind, oder übersehe ich da etwas?

Ich hatte noch nie eine Version aus dem Market installiert, weil es [app]Google Chrome to Phone[/app] noch nicht im deutschen Market gibt.
Meine Version stammte von der Webseite http://code.google.com/p/chrometophone/.
Und dort steht jetzt:
Update (12th Aug 2010): Chrome to Phone is now available on Chrome Extension Gallery and Android Market.
Please uninstall the pre-release version and install the officially launched version from Gallery / Market for latest bug fixes and features.

Da mein Nexus One die App im Market nicht findet, habe ich dann per Web-Suche nach der Datei "Chrome to Phone 2.0.0.apk" gesucht und gefunden.
Mein Gedanke war jetzt, über eine Checksumme zu prüfen, ob ich die Version aus dem Amerikanischen Market habe.
Oder gibt es einen besseren Weg, die Herkunft einer App zu bestimmen?

Antworten

Gelöschter Account

Forum-Beiträge: 5.136

29.08.2010, 15:31:33 via Website

29.08.2010 15:31:33 via Website

Nun ja .. man kann mit dem Jarsigner die Signaturen der .apk validieren.

Aufruf : jarsigner -verify -verbose -certs "Chrome to Phone 2.0.0.apk" bzw.

jarsigner -verify -verbose -certs chrometophone-android-v1.7.apk

Für die mir vorliegende Version des 2.0.0 ergibt das die Ausgabe, dass dieses Programm von:
X.509, CN=Unknown, OU="Google, Inc", O="Google, Inc", L=Mountain View, ST=CA, C=US
[certificate is valid from 02.12.08 03:07 to 19.04.36 04:07]

signiert wurde.

Die Version 1.7 hingegen wurde von:
X.509, CN=Dave Burke, OU=Google, O=Google, L=London, ST=Unknown, C=GB
[certificate is valid from 20.05.10 23:12 to 05.10.37 23:12]

signiert.

Es handelt sich also mindestens um 2 verschiendene Signaturen die verwendet wurden.

Das Jarsigner Tool macht nichts anderes, als dass es die im Manifest.MF hinterlegten SHA Keys gegen den public Part des im APK hinterlegten Keys abgleicht und sicherstellt dass alle im APK enthaltenen Ressourcen entsprechend der im Manifest angegebenen Keys übereinstimmen. Mehr nicht.

lg Voss

Gelöschter Account

Antworten