APK 证书签名审查报告

[cmj2002]

为了验证本仓库中提供的 APK 是否是由开发者发布的原版，我从公众号 "大小姐李跳跳" 中发布的 "真实好友4.0" 安装包中提取官方签名证书，并验证仓库中的三个 APK 是否由其签名。

TL;DR: "李跳跳2.2正式版.apk" 的完整性无法验证，其他两个 APK 均可以确定是李跳跳发布的。（假设其公众号分发途径可靠且其签名密钥未泄露）

修改于 2023/09/15：已经确认 2.2 版本是由李跳跳发布的。请参考 @CescMessi 的评论

使用的命令： keytool -printcert -jarfile $apk

从公众号 "大小姐李跳跳" 中发布的 "真实好友4.0" 安装包中提取的官方签名证书为：

Certificate #1:
Owner: CN=ltt.keystore, OU=李单位, O=李组织, L=李城市, ST=李省份, C=李国家编码
Issuer: CN=ltt.keystore, OU=李单位, O=李组织, L=李城市, ST=李省份, C=李国家编码
Serial number: 69f0f545
Valid from: Sat Mar 12 23:44:54 CST 2022 until: Tue Mar 09 23:44:54 CST 2032
Certificate fingerprints:
         SHA1: 98:AA:39:A6:B5:DD:F0:BF:51:74:08:FA:AE:87:24:99:CB:53:F9:69
         SHA256: C2:C1:86:28:3D:53:00:05:B1:20:9A:67:4F:62:33:63:2D:16:CB:0D:C4:B7:CA:4E:EB:A0:BD:11:E0:C8:AB:8D
Signature algorithm name: SHA256withRSA
Subject Public Key Algorithm: 1024-bit RSA key (weak)
Version: 3

仓库中的 "李跳跳_派大星2.01.apk", "李跳跳_真实好友4.0.apk" 均由该证书签名，其完整性可以验证。但是，仓库中的 "李跳跳2.2正式版.apk" 由另一个证书签名，这可能是开发者更改了证书（可能因为 1024 位证书即将被弃用），也可能是安装包已经被篡改。我已经通过微信公众号留言请求李跳跳发布其使用的证书指纹。我收到回复后会在此 issue 下更新。

仓库中的 "李跳跳2.2正式版.apk" 使用的证书如下：

Certificate #1:
Owner: CN=hello.litiaotiao.app
Issuer: CN=hello.litiaotiao.app
Serial number: 1
Valid from: Mon Apr 03 22:50:22 CST 2023 until: Fri Mar 27 22:50:22 CST 2048
Certificate fingerprints:
         SHA1: 97:45:4D:A9:68:AC:43:9F:2C:33:9F:4D:E9:4B:63:8B:B4:5C:51:F9
         SHA256: 7A:88:96:22:6F:A1:23:9E:60:11:4C:B2:DE:41:1C:C9:FA:68:8F:D2:FB:0D:26:B4:C4:95:97:D8:58:BF:AC:86
Signature algorithm name: SHA256withRSA
Subject Public Key Algorithm: 2048-bit RSA key
Version: 1

[eddlez]

首先为你的质疑和求证精神点赞，我没怎么接触过安卓开发，确实不清楚apk证书签名验证相关的事情。我是今早起床后看到了李跳跳消失的消息，当时心里面比较也着急，所以就赶紧从公众号的百度网盘链接上面下载了这三个apk包，并建立了这个仓库（当时公众号上123网盘和夸克网盘的链接已经失效了，只有百度网盘的还有效）

针对不同版本apk签名不一致的问题，我刚才对我自己手机上当前在用的李跳跳进行了apk提取，之后运行了 keytool -printcert -jarfile '.\base.apk' 命令进行了签名检查，结果如下

签名者 #1:

Certificate #1:
所有者: CN=hello.litiaotiao.app
发布者: CN=hello.litiaotiao.app
序列号: 1
生效时间: Mon Apr 03 22:50:22 HKT 2023, 失效时间: Fri Mar 27 22:50:22 HKT 2048
证书指纹:
         SHA1: 97:45:4D:A9:68:AC:43:9F:2C:33:9F:4D:E9:4B:63:8B:B4:5C:51:F9
         SHA256: 7A:88:96:22:6F:A1:23:9E:60:11:4C:B2:DE:41:1C:C9:FA:68:8F:D2:FB:0D:26:B4:C4:95:97:D8:58:BF:AC:86
签名算法名称: SHA256withRSA
主体公共密钥算法: 2048 位 RSA 密钥
版本: 1

这个证书指纹和仓库中的 "李跳跳2.2正式版.apk" 的证书指纹是一致的，我推测可能是开发者为了区分不同的版本，使用了不同的证书吧

总之能在当今的互联网上看到真正动手进行质疑和求证的人真的很高兴，我也在此大胆保证这个仓库的各apk文件和公众号里共享出来的文件是一致的，这点请放心，我也是万千李跳跳忠实用户中的一位。我也很期待开发者能够发布其使用的证书指纹，早日打消这个疑虑。

[cmj2002]

感谢您的回复！我提出此 issue 也并不是为了质疑或者指责您，而是希望尽早（以免 "真实好友" 以后也消失）、在影响尽可能大的地方发出其证书指纹，并提醒各位用户（尤其是没有安卓开发经验的用户）在安装任何非官方渠道的 APK 前进行校验。

非常感谢您及时共享了这些安装包！

[sunny086]

二位相当严谨 都怪🐕腾讯！

[heylogo1]

为二位点赞👍
狗日的疼讯👎

[fangminghui]

点赞，昨晚看到被起诉的新闻才知道有这么个软件，已安装，确实好用

[lvfch]

比较一下md5不就行了

[baodaren2022]

感谢您的回复！我提出此 issue 也并不是为了质疑或者指责您，而是希望尽早（以免 "真实好友" 以后也消失）、在影响尽可能大的地方发出其证书指纹，并提醒各位用户（尤其是没有安卓开发经验的用户）在安装任何非官方渠道的 APK 前进行校验。

非常感谢您及时共享了这些安装包！

请问有什么工具可以校验这个呢

[cmj2002]

请问有什么工具可以校验这个呢

keytool -printcert -jarfile $apk 即可，其中 $apk 换成文件路径，keytool 是随 java 安装的。

[CescMessi]

在4月12日的公众号推文中，公布有李跳跳的md5信息(ee2f4e1e7d92eb29a8b36267d7a7c79d)，对比了仓库里的李跳跳2.2正式版.apk，是一致的。

[cmj2002]

在4月12日的公众号推文中，公布有李跳跳的md5信息，对比了仓库里的李跳跳2.2正式版.apk，是一致的。

感谢指出！我也进行了对比，MD5 确实是一样的。

[xiomin2499]