यदि एपीके हस्ताक्षरित है या "डीबग बिल्ड" की जांच कैसे करें?

जहाँ तक मुझे पता है, Android में "रिलीज़ बिल्ड" पर हस्ताक्षर किए गए हैं। कोड से इसकी जांच कैसे करें या क्या ग्रहण में कुछ प्रकार के गुप्त दोष हैं?

मुझे वेब सेवा डेटा से सूची दृश्य आइटमों को डिबग करने के लिए इसकी आवश्यकता है (नहीं, लॉगकैट एक विकल्प नहीं है)।

मेरे विचार:

• अनुप्रयोग है android:debuggable, लेकिन किसी कारण से जो विश्वसनीय नहीं दिखता है।
• हार्ड-कोडिंग डिवाइस आईडी अच्छा विचार नहीं है, क्योंकि मैं साइन किए गए APK के परीक्षण के लिए उसी डिवाइस का उपयोग कर रहा हूं।
• कोड में कहीं मैनुअल ध्वज का उपयोग करना? प्रशंसनीय, लेकिन निश्चित रूप से कुछ समय में बदलने के लिए भूल जाते हैं, प्लस सभी प्रोग्रामर आलसी हैं।

डिबग या रिलीज़ सर्टिफिकेट का उपयोग करके एप्लिकेशन का निर्माण किया जाता है या नहीं यह जांचने के लिए अलग-अलग तरीके हैं, लेकिन निम्नलिखित तरीका मुझे सबसे अच्छा लगता है।

एंड्रॉइड डॉक्यूमेंटेशन साइनिंग योर एप्लिकेशन में दी गई जानकारी के अनुसार , डिबग की में निम्नलिखित विषय विशिष्ट नाम होते हैं: " CN = Android डिबग, O = Android, C = US "। हम इस जानकारी का उपयोग परीक्षण करने के लिए कर सकते हैं कि क्या हमारे कोड में हार्डकॉग डीबग कुंजी हस्ताक्षर के बिना पैकेज डिबग कुंजी के साथ हस्ताक्षरित है।

दिया हुआ:

import android.content.pm.Signature;
import java.security.cert.CertificateException;
import java.security.cert.X509Certificate;

आप इस तरह एक अलग विधि लागू कर सकते हैं:

private static final X500Principal DEBUG_DN = new X500Principal("CN=Android Debug,O=Android,C=US");
private boolean isDebuggable(Context ctx)
{
    boolean debuggable = false;

    try
    {
        PackageInfo pinfo = ctx.getPackageManager().getPackageInfo(ctx.getPackageName(),PackageManager.GET_SIGNATURES);
        Signature signatures[] = pinfo.signatures;

        CertificateFactory cf = CertificateFactory.getInstance("X.509");

        for ( int i = 0; i < signatures.length;i++)
        {   
            ByteArrayInputStream stream = new ByteArrayInputStream(signatures[i].toByteArray());
            X509Certificate cert = (X509Certificate) cf.generateCertificate(stream);       
            debuggable = cert.getSubjectX500Principal().equals(DEBUG_DN);
            if (debuggable)
                break;
        }
    }
    catch (NameNotFoundException e)
    {
        //debuggable variable will remain false
    }
    catch (CertificateException e)
    {
        //debuggable variable will remain false
    }
    return debuggable;
}

डीबग करने योग्य ध्वज की जाँच करने के लिए, आप इस कोड का उपयोग कर सकते हैं:

boolean isDebuggable =  ( 0 != ( getApplicationInfo().flags & ApplicationInfo.FLAG_DEBUGGABLE ) );

Kotlin:

val isDebuggable = 0 != applicationInfo.flags and ApplicationInfo.FLAG_DEBUGGABLE

अधिक जानकारी के लिए, कृपया देखें Android LVL एप्लिकेशन सुरक्षित करना ।

वैकल्पिक रूप से, यदि आप ग्रेडेल का सही उपयोग कर रहे हैं, तो आप जांच सकते हैं कि क्या BuildConfig.DEBUGयह सही है या गलत।

मार्क मर्फी द्वारा उत्तर दिया गया

सबसे सरल, और सबसे अच्छा दीर्घकालिक समाधान , उपयोग करना है BuildConfig.DEBUG। यह एक booleanमान है जो trueडीबग बिल्ड के लिए होगा , falseअन्यथा:

if (BuildConfig.DEBUG) {
  // do something for a debug build
}

यदि आप एक APKसांख्यिकीय जाँच करना चाहते हैं , तो आप उपयोग कर सकते हैं

aapt dump badging /path/to/apk | grep -c application-debuggable

यह आउटपुट 0यदि APKडिबग करने योग्य नहीं है और 1यदि यह है।

शायद देर से, लेकिन iosched उपयोग करता है BuildConfig.DEBUG

सबसे पहले इसे अपनी build.gradle फ़ाइल में जोड़ें, इससे डिबग और रिलीज़ बिल्ड के साथ-साथ चलने की भी अनुमति मिलेगी:

buildTypes {
    debug {
        applicationIdSuffix ".debug"
    }
}

इस विधि को जोड़ें:

public static boolean isDebug(Context context) {
    String pName = context.getPackageName();
    if (pName != null && pName.endsWith(".debug")) {
        return true;
    } else {
        return false;
    }
}

डिबग बिल्ड के रूप में अच्छी तरह से हस्ताक्षरित है, बस एक अलग कुंजी के साथ। यह स्वचालित रूप से ग्रहण द्वारा उत्पन्न होता है, और इसका प्रमाण पत्र केवल एक वर्ष के लिए मान्य होता है। क्या समस्या है android:debuggable? आप यह मान कोड का उपयोग करके प्राप्त कर सकते हैं PackageManager।

एक और विकल्प, ध्यान देने योग्य है। यदि आपको केवल डिबगर संलग्न होने पर कुछ कोड निष्पादित करने की आवश्यकता है, तो इस कोड का उपयोग करें:

if (Debug.isDebuggerConnected() || Debug.waitingForDebugger()) { 
    //code to be executed 
}

के साथ हल किया android:debuggable। यह पढ़ने की मद में बग था जहां कुछ मामलों में आइटम पर डिबग ध्वज को रिकॉर्ड में संग्रहीत नहीं किया जा रहा था जिसका if (m.debug && !App.isDebuggable(getContext()))हमेशा मूल्यांकन किया जाता था false। मेरी गलती।

कोटलिन में समाधान जो मैं इस समय उपयोग कर रहा हूं:

@SuppressLint("PackageManagerGetSignatures")
@Suppress("DEPRECATION")
fun isSigned(context: Context?): Boolean {
    return (context?.packageManager?.getPackageInfo(context.packageName, PackageManager.GET_SIGNATURES)?.signatures?.firstOrNull()?.toByteArray()
            ?.let {
                return@let CertificateFactory.getInstance("X.509").generateCertificate(ByteArrayInputStream(it))
            } as? X509Certificate)
            ?.issuerDN
            ?.name
            ?.contains("O=Android", ignoreCase = false) ?: true
}

इस तरह से मैं अभी भी डिबग में SIGN कर सकता हूं और उन पर Crashlytics को सूचित किया जाएगा (उदाहरण के लिए, QA प्रक्रिया के लिए)