@unco020511 #9 好像是没啥办法,姑且暂定依赖 U 盘了

@YGHMXFAL #8 其实国产安卓内置应用商店帮你保证“签名者=原始开发者”也就是在其中充当了 CA 的角色

补充:WIN 上可以找到很多既能够计算 HASH 、又能够校验其自身合法性(因为自带数字签名,和 APK 自带地数字签名不同)并且还开源地程序,所以这一套流程在 WIN 上能够跑通,现在想将它复现到 Android 上遇到了麻烦😁😁

@luoshuimumu #7

先说一下我搞这一套流程的动机吧,否则可能难以理解我偏执的那个点,哈哈哈

我喜欢使用 MX 播放器,而且是自己去 apkmirror 去下载得 APK,去 XDA 论坛下载得 Custom Codec,一切完美

直到有一天,小米应用商店自作聪明,给我自动静默“更新”到了一个旧版本 MX 播放器...

就从这个事儿开始,我对国产安卓内置应用商店的印象就非常差,一直都手动下载各种 APK 来安装,或者使用 fdroid 这种开源商店

所以,现在我对国产安卓内置应用商店的定位就是:你只要能够帮我安装网盘 APP 就行了,然后我从网盘中下载早已准备好地 All-In-One.7Z,解压就能得到我需要地一切 APK,至少得到翻墙 APP 的 APK,出墙了就啥都好说了

但是由于网盘存在和谐/文件损坏等等意外,所以从网盘下载到本地的任何文件,校验其是否完整是必须滴,这里我使用 SHA512

说回正题,简单来说,我需要构建一条信任链,链条的根是我打印出来离线保存地几个 HASH 值,因为它只是一张 A4 纸,遭遇赛博破坏地可能性完全没有(相比之下,网盘中的文件,这个可能性大大地有)

我遇到地障碍是:使用什么 APP 来计算 All-In-One.7Z 的 HASH 呢?这个 APP 本身又怎么校验呢?

APK 自带地数字签名,它只能证明自己从“签名者”手里到我手里是一致地,但是“签名者≠原始开发者”,谁都可以执行#5 那一套操作,终端用户如何发现这种恶意行为呢?举一个例吧,前一阵子 clash 周边大跑路,很多小白到处求最后一版 APK,这个时候有谁搞了#5 那一套操作,小白如何避免中招呢?你总不能说去国产安卓内置应用商店去安装 clash 吧?

当然#4 大佬说了,“原始开发者”自身有考虑到这个风险会自己想办法缓解,也可以相信应用商店有严格审核会帮你保证“签名者=原始开发者”

矛盾就在这里,我对国产安卓内置应用商店不放心(倒不是技术水平,而是道德操守),希望全套校验由自己来手动执行,现在唯一地障碍就是,这个计算 HASH 的 APP,其本身又如何被校验

@cpstar #10 楼主外置硬盘里是 LINUX,不能被 BCD 引导,哪怕关了安全启动

@damienming #8 可以使用 filesystem UUID 来定位外置硬盘上的分区

但是 filesystem UUID 这玩意儿不绿色,我之前搞“解压即用 LINUX”的时候,使用 GRUB2 的 search 命令来定位 U 盘上一个独一无二地文件,再拿 probe 来探测其 filesystem UUID

你先确定 BitLocker 能不能被其它 bootloader 链式加载再说

和楼主一样地情景,但是我是使用 VeraCrypt,拿 GRUB2 来引导

不清楚 BitLocker 能否被 GRUB2 链式加载

嗯...不对...国产安卓以后可能不会允许从 U 盘安装 APK...

@janus77

我的疑虑是:解压 APK,篡改一下代码,重新打包,重新生成签名密钥对,签名,这一套攻击,终端用户如何发现呢?就是指这个“可信”~不借助 CA,好像解决不了这个问题?

实在不行就借助 U 盘了,正文里也说了,算是可以接受得方案

@linhua

嗯,通过 ADB 访问 SHELL,

也要数据线连接电脑吧?哪怕是无线 ADB 也要先数据线连接一次吧?那不如上 U 盘了~

要是从 Android 本地访问 SHELL,哪怕不提 Root 权限,也要额外安装 APP(叫终端模拟器?),这个 APP 又要校验哇,又回到原点了呀

文末的“注”漏了😂😂😂“我选择了[git for windows]”

没用,你给 TA 说今天不努力以后有多苦,TA 根本体会不到

你不是听着大道理长大得吗?那些大道理你信奉了几个?将心比心嘛~

租房体验好了,谁还买房了,这是顶层设计,认了吧

BROOK 一条命令开 SOCKS5 Server,你看看要不要动防火墙

TC 强制双列,这个问题可以变通一下来解决

首先,双面板可以左右并列,也可以上下并列,你绑定一个快捷键先切换到上下并列

然后,你把面板①的高度调整到 100%,看看效果如何?再为这个动作绑定一个快捷键就可以了