为什么Android许可证验证库无法验证应用签名?
步骤:
如果您已正确配置alpha-test帐户,则resigned将成功从Google Play下载OBB。 (我正在使用Downloader库,它正在使用LVL)
IMO,LVL很容易将APK证书与“真实”证书进行比较。
答案 0 :(得分:0)
Google LVL不是基于应用程序签名,因为获取签名需要在客户端上运行代码才能获取应用程序签名,并且本质上攻击者可以修改代码。
相反,它会检查用户是否已经在Google服务器端获取该应用,并使用Google服务器端存储来判断该用户是否曾从Google Play获取该应用(不会受到攻击)。
LVL的目的是允许(付费)应用程序查看它们是否是从Play获取的,而不是检测修改。如果您想在应用中检测修改,最好使用Google SafetyNet attestation API