V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
gzxu
V2EX  ›  Android

亲眼目睹安装包被某国内 ROM 篡改了,哎

  •  
  •   gzxu · 2019-08-07 19:57:06 +08:00 via Android · 14410 次点击
    这是一个创建于 1926 天前的主题,其中的信息可能已经有所发展或是发生改变。
    媳妇被分到门店,帮她刷了台业绩,顺便自己用用。之前一直用 LineageOS,也想看看国产系统发展到什么样了

    试着装上我的一些常用软件,用 F-droid 安装了一些软件,安装到 Terminal Emulator 的时候,安装成功之后 F-droid 马上提示此应用检测到风险建议升级👀
    (对没错就是那个 jackpal 的,停更很久了,很旧但是够极简)

    点升级,重新下载安装了一次,好,这次系统安装程序提示,即将安装的应用安装包签名与现有应用不一致,可能被篡改

    结果居然还能正常安装(黑人问号.jpg ),F-droid 里面的提示也没有了

    啥也不敢说,咱也不敢问

    在系统应用市场里面搜了下,确实我之前在 F-droid 里面安装的应用都是市场里面没有的,所以没有这个问题。那应该就是这个原因了吧

    就吐槽一下,也没啥别的想法吧,年纪大了,不折腾了,就这么用吧哈哈,反正这机子也没法刷别的系统🤷‍♂️
    第 1 条附言  ·  2019-08-07 21:11:41 +08:00
    对,两个点,一个是安装包签名出现某种问题,一个是安装包签名不对居然给安装

    回复下 @LuoLuoKaka 的回复,因为 F-droid 上面所有应用都是被重新签名的,可以理解为某种意义上的签名篡改,确实有关于这个的不少讨论,但我现在明确表示我想要 F-droid 的签名,你这操作系统不给,那是不是应该负责任啊😅
    12 条回复    2019-08-08 00:26:33 +08:00
    pxw2002
        1
    pxw2002  
       2019-08-07 20:39:06 +08:00 via Android   ❤️ 1
    你是说数字签名不一样,rom 还是安装了?
    LuoLuoKaka
        2
    LuoLuoKaka  
       2019-08-07 20:39:26 +08:00 via Android   ❤️ 4
    明明是 f-droid 的锅。。。
    jackpal 只开发到 1.0.70 版本,而 f-droid 上的最新版本是 1.0.70.1 版本,并显示以下提示:

    New in version 1.0.70-rebuild
    v1.0.70.1 (F-Droid only) resigned to get rid of MD5

    目测是 f-droid 自己用 GitHub 上源码重新打包的
    LuoLuoKaka
        3
    LuoLuoKaka  
       2019-08-07 20:40:42 +08:00 via Android   ❤️ 1
    yankebupt
        4
    yankebupt  
       2019-08-07 20:42:40 +08:00
    二楼还真的去看了一眼,辛苦
    exip
        5
    exip  
       2019-08-07 20:54:33 +08:00 via Android
    你们大概没见过火狐国际版被某粗粮应用商店提示不是正版的
    catcalse
        6
    catcalse  
       2019-08-07 21:39:16 +08:00
    @exip 然后脑抽点了更新,发现广告满天飞。
    bkmi
        7
    bkmi  
       2019-08-07 21:45:34 +08:00 via Android
    瞎甩锅
    lpf0309
        8
    lpf0309  
       2019-08-07 21:48:42 +08:00 via Android   ❤️ 1
    其实一加还是挺好的,就是没中端机。
    exip
        9
    exip  
       2019-08-07 21:54:33 +08:00 via Android
    @exip 自从发现这个特点后就把应用商店清除数据并放到不起眼的角落了,它再启动后会提示是否允许联网和读取数据,我都不同意,哈哈。
    youngxu
        10
    youngxu  
       2019-08-07 23:11:15 +08:00 via Android
    @exip 同样的还有 duolingo、forest,这辣鸡小米应用商店(我是小米用户)
    dalieba
        11
    dalieba  
       2019-08-07 23:44:34 +08:00 via Android
    D-droid 的安装包其实是开发者自己提供源码再自签名的
    Mast
        12
    Mast  
       2019-08-08 00:26:33 +08:00
    真不知道在这吐槽什么
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2622 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 15:52 · PVG 23:52 · LAX 07:52 · JFK 10:52
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.