-
@ minseo
2025-02-19 12:29:20ชาว Android Developer หลายคนอาจจะเคยมางาน Android Bangkok 2025 แล้วได้ฟัง session พี่เอก ที่ชื่อว่า “Why App Signing Matters for Your Android Apps” แล้วอยากตรวจ APK Signature Scheme ของแอพเราเองบ้าง จริง ๆ มันตรวจง่ายมาก ๆ เลย ทุกคนทำตามได้แน่นอน
ก่อนอื่นขออธิบาย APK Signature Scheme กันก่อน มันคือ script การยืนยันตัวตน และ code ข้างในยังเป็นเหมือนเดิม แบ่งจากการทำ signing - v1 scheme: รองรับ Android ทุก version และรองรับแค่ java code แต่ไม่ครอบคลุม resource เพราะว่าถ้า resource เปลี่ยน แต่ signature เหมือนเดิม ดังนั้นไม่แนะนำให้ใช้ เนื่องจากเรื่องความปลอดภัย และ performance → APK Signature Scheme v1 - v2+ Scheme: ครอบคลุมทุกไฟล์ เป็นการแทรก APK Signing block เข้าไป → APK Signature Scheme v2, v3, v3.1, v4
วิธีการตรวจแบบง่ายมาก ๆ แบบไม่ต้องไปลงอะไรเพิ่ม คือใช้ apksigner เป็นหนึ่งใน Android SDK command line tool ที่มีมาตั้งแต่ version 24.0.3 ที่เอาไว้ sign apk, ตรวจสอบ apk ของเรา รวมไปถึง rotate key ด้วย
ในที่นี้เราใช้ verify command เพื่อดูรายละเอียด apk ของเรากัน หน้าตาตัว command เป็นแบบนี้
apksigner version [option] app-name.apkก่อนอื่น หา path ของเจ้า apksigner ซึ่งทางเราใช้ macbook ดังนั้นมันจะไปอยู่ path หน้าตาแบบนี้
/Users/{username}/Library/Android/sdk/build-tools/{version}/apksignerเอาเจ้า path นี้ไปแทนที่ apksigner ทำให้เราเรียกตัว cmd นี้จากที่ไหนก็ได้ อย่างทำงานที่บ้าน เอ้ยไม่ใช่ อย่างเราเปิดหน้า terminal บน Android Studio ก็แปะอันนี้ได้เลย ไม่ต้องไปที่ path ที่อยู่ของ apksigner โดยตรง
จากนั้นเตรียมไฟล์ apk ที่เป็น build release มานะ ไม่งั้นมันจะ check ไม่ได้เน้อ ต่อมามาใช้คำสั่งนี้กัน
apksigner verify --print-certs -v app-name.apkอธิบายแต่ละ option กันก่อนเลย - --print-certs: บอกข้อมูลพวก certificate, algorithm ในการ sign และ public key - -v: แอพเราตอนนี้ signing signature scheme version อะไร ไม่ยากเลยใช่ไหม
ถ้าเพื่อน ๆ ไม่อยากใช้ v1 แล้ว อยากใช้อันอื่น สามารถใส่ประมาณนี้ที่ build.gradle ที่ module app
android { ... signingConfigs { release { v1SigningEnabled false enableV2Signing true enableV3Signing true enableV4Signing true } } }หวังว่าจะเป็นประโยชน์กับชาว #siamstr น้า