Auf dieser Seite wird beschrieben, wie Sie prüfen können, ob das auf Ihrem Android Gerät installierte APK oder APEX den Angaben im Claimant Model entspricht. Dazu wird das APK von Ihrem Gerät abgerufen und ein Log-Inclusion-Proof für das extrahierte Artefakt durchgeführt.
Bestätigungsprozess
Ein Transparenzlog wird mit einem Merkle-Baum aus Hashes implementiert. Ein Blattknoten enthält Daten und ein übergeordneter Knoten den Hash seiner untergeordneten Knoten.
Zwei grundlegende Berechnungen bestätigen die Manipulationssicherheit von Transparenzprotokollen: der Inclusion-Proof und der Consistency-Proof. Der Inclusion-Proof bestätigt, dass das Log einen Eintrag für eine bestimmte APK-Version enthält. Dieser Logeintrag enthält einen Hash, der der SHA256-Digest der auf dem Gerät installierten APK-Datei ist. Der Consistency-Proof stellt sicher, dass der neue Prüfpunkt bei Hinzufügen neuer Einträge kryptografisch mit früheren Versionen des Baums übereinstimmt oder dass der Baum nicht manipuliert wurde. In dieser Anleitung konzentrieren wir uns auf den Prozess der Berechnung des Inclusion-Proof, während wir uns auf Zeugen verlassen, die kontinuierlich den Consistency-Proof anhand der neuesten Prüfpunkte durchführen.
Um ein abgedecktes APK zu bestätigen, führen Sie einen Inclusion-Proof anhand eines bezeugten Prüfpunkts durch. Wir planen, dieses Log mit einem öffentlichen Zeugennetzwerk zu verknüpfen, das ein standardisiertes Zeugenprotokoll verwendet. Durch diese Integration werden bezeugte Prüfpunkte bereitgestellt, die die Konsistenz des Logs garantieren.
So prüfen Sie, ob die Google-Apps auf Ihrem Gerät den Angaben im Claimant Model entsprechen:
Inclusion-Proof
Sie können prüfen, ob sich ein abgedecktes APK auf Ihrem Gerät im Log befindet, indem Sie das APK extrahieren, seinen Hash berechnen und mit einem Inclusion-Proof prüfen, ob dieser Hash im veröffentlichten Prüfpunkt vorhanden ist. Ein erfolgreicher Inclusion-Proof bietet Schutz vor den im Threat Model beschriebenen Risiken und bestätigt, dass die App eine legitime Google-App ist.
APK-Inclusion im Log bestätigen
Jede App, die als Google-App eines Erstanbieters bezeichnet wird, kann anhand dieses Logs bestätigt werden.
Voraussetzungen für die Bestätigung
Bevor Sie ein extrahiertes APK bestätigen, sollten die folgenden Tools auf Ihrem Computer installiert sein:
Android Debug Bridge (ADB)
ADB ist ein Tool, das mit einem Android-Gerät kommuniziert und auf der
Website Android SDK Platform Tools verfügbar ist.
AAPT2
AAPT2 (Android Asset Packaging Tool) ist ein Build-Tool, mit dem die Ressourcen einer Android-App kompiliert und verpackt werden.
Es ist als eigenständiges Tool in Android SDK Build Tools 26.0.2 und
höher verfügbar.
Golang
Das Bestätigungstool ist in Go geschrieben. Um es zu erstellen, installieren Sie Go 1.17 oder höher von der Go-Website.
Inclusion-Proof-Prüfung
Wir veröffentlichen ein Go-Modul namens verifier im
GitHub-Repository android-binary-transparency.
Dieses Tool fragt das Google-Transparenzlog für APKs von Erstanbietern ab, um zu prüfen, ob ein Paket enthalten ist.
Um dieses Tool zu verwenden, klonen Sie zuerst das Repository auf Ihren lokalen Computer:
git clone https://github.com/android/android-binary-transparency
Der Quellcode für die Prüfung ist im Repository android-binary-transparency zu finden.
Nutzlast für die Bestätigung erstellen
Um Ihr extrahiertes APK zu bestätigen, müssen Sie eine Log-Nutzlast mit Informationen erstellen, die aus dem APK selbst abgeleitet wurden.
Aktivieren Sie zuerst das USB-Debugging auf Ihrem Gerät, um adb
Verbindungen zuzulassen.
Suchen Sie dann das installierte APK auf Ihrem Gerät. In dieser Anleitung wird das
Google Play-Dienste APK (com.google.android.gms) als Arbeitsbeispiel verwendet.
adb shell pm path com.google.android.gms
Die Ausgabe sollte in etwa so aussehen:
computer:~$ adb shell pm path com.google.android.gms
package:/data/app/~~oI3N-m7I3VNMk5eKUCscQg==/com.google.android.gms-O79jYXgqkqKaQ9IzJ5zqfA==/base.apk
package:/data/app/~~oI3N-m7I3VNMk5eKUCscQg==/com.google.android.gms-O79jYXgqkqKaQ9IzJ5zqfA==/split_CronetDynamite_installtime.apk
package:/data/app/~~oI3N-m7I3VNMk5eKUCscQg==/com.google.android.gms-O79jYXgqkqKaQ9IzJ5zqfA==/split_DynamiteLoader_installtime.apk
package:/data/app/~~oI3N-m7I3VNMk5eKUCscQg==/com.google.android.gms-O79jYXgqkqKaQ9IzJ5zqfA==/split_DynamiteModulesA_installtime.apk
package:/data/app/~~oI3N-m7I3VNMk5eKUCscQg==/com.google.android.gms-O79jYXgqkqKaQ9IzJ5zqfA==/split_DynamiteModulesC_installtime.apk
package:/data/app/~~oI3N-m7I3VNMk5eKUCscQg==/com.google.android.gms-O79jYXgqkqKaQ9IzJ5zqfA==/split_GoogleCertificates_installtime.apk
package:/data/app/~~oI3N-m7I3VNMk5eKUCscQg==/com.google.android.gms-O79jYXgqkqKaQ9IzJ5zqfA==/split_MapsDynamite_installtime.apk
package:/data/app/~~oI3N-m7I3VNMk5eKUCscQg==/com.google.android.gms-O79jYXgqkqKaQ9IzJ5zqfA==/split_MeasurementDynamite_installtime.apk
package:/data/app/~~oI3N-m7I3VNMk5eKUCscQg==/com.google.android.gms-O79jYXgqkqKaQ9IzJ5zqfA==/split_config.en.apk
package:/data/app/~~oI3N-m7I3VNMk5eKUCscQg==/com.google.android.gms-O79jYXgqkqKaQ9IzJ5zqfA==/split_config.xxhdpi.apk
package:/data/app/~~oI3N-m7I3VNMk5eKUCscQg==/com.google.android.gms-O79jYXgqkqKaQ9IzJ5zqfA==/split_maps_core_dynamite_ondemand.apk
Diese Ausgabe zeigt, dass auf Ihrem Gerät ein Basis-APK und mehrere Split-APKs installiert sind
für com.google.android.gms auf Ihrem Gerät.
Die genaue Anzahl der Split-APKs variiert je nach Konfiguration Ihres Geräts.
Jedes unterteilte APK hat denselben Paketnamen und Versionscode wie das Basis-APK.
Laden Sie die aufgeführten APKs mit dem folgenden Befehl von Ihrem Android-Gerät auf Ihren Computer herunter. Beachten Sie, dass die tatsächlichen Dateipfade variieren können:
mkdir -p /tmp/testdir/gms && cd /tmp/testdir/gms && \
adb shell pm path com.google.android.gms | cut -d':' -f2 | tr -d '\r' | xargs -n1 adb pull
Um den Paketnamen und die Version der heruntergeladenen APKs zu prüfen, müssen Sie
ihr Manifest (AndroidManifest.xml) untersuchen.
Da das Manifest in einem APK im Binärformat vorliegt, verwenden Sie das aapt2 Tool
(das im Schritt „Voraussetzungen“ installiert wurde), um die
Informationen direkt aus dem APK zu extrahieren und zu lesen:
computer:/tmp/testdir/gms$ aapt2 dump badging ./base.apk
package: name='com.google.android.gms' versionCode='260834035' versionName='26.08.34 (260400-876566425)' platformBuildVersionName='Baklava' platformBuildVersionCode='36' compileSdkVersion='36' compileSdkVersionCodename='Baklava'
minSdkVersion:'35'
targetSdkVersion:'36'
...
Wiederholen Sie diesen Schritt, um die relevanten Informationen zu erhalten, bis alle auf Ihrem Gerät installierten Split-APKs berücksichtigt wurden.
Die Ausgabe bestätigt, dass der Paketname des APK com.google.android.gms und die Versionsnummer (versionCode) 260834035 ist.
Berechnen Sie als Nächstes den kryptografischen Hash jedes APK:
computer:/tmp/testdir/gms$ sha256sum *.apk
66aa2d7b9752cdd61065b55c8e16739d8367fa18a0f1c8c84122369f86958f1a base.apk
c20754aee886cc55a9de91ee15c623c59d94ad22b7e435a1a48afc43cf1a106c split_config.en.apk
68c09b63a1262e0d34020c139bc77deff3c32bd2b01177abac64790a62fb3be6 split_config.xxhdpi.apk
cd746820c27babd855fa5daea6fabcdf7b44abf3060bc547adc4219212410af0 split_CronetDynamite_installtime.apk
512ee48b60fdb0787a17f84a7dc448fdbf885b2b86a9cb50525d4c22d561b0f1 split_DynamiteLoader_installtime.apk
9e0c74bdc75c50c80d4e2e580a7eda6b8391423ab1161645f41ec6cadc07d678 split_DynamiteModulesA_installtime.apk
955780ac01f59b98bd9be12968f3824ad71b762620f7bf223c569c1a6ab7056c split_DynamiteModulesC_installtime.apk
34c4a2e32d31554d55fc1519e2cfc3ed5027a090fb29b54cfc99f42d1da43bc5 split_GoogleCertificates_installtime.apk
475e18dde92472cde9d8300c082b6dc269613db03398bcd9d1987dff3e68f7b5 split_maps_core_dynamite_ondemand.apk
f83faf40f08bc13f4879302e01c08c863ca2304b4b4e7c9eaf8cd1e869bb6573 split_MapsDynamite_installtime.apk
ec6d854ddda6cd1ba2ba7af2d9fdf4f28c5c78be8713c64521c785429296738c split_MeasurementDynamite_installtime.apk
Sie haben jetzt alle Informationen, die Sie zum Erstellen einer Log-Nutzlast benötigen, die wie im Log-Inhalt-Abschnitt beschrieben formatiert ist. Wenn Sie einen Hash aus den Ergebnissen als Beispiel auswählen (Sie sollten den Hash jedes unterteilten APK bestätigen), sieht die Log-Nutzlast so aus:
66aa2d7b9752cdd61065b55c8e16739d8367fa18a0f1c8c84122369f86958f1a
SHA256(APK)
com.google.android.gms
260834035
Achten Sie darauf, dass am Ende der Datei ein Zeilenumbruchzeichen steht. Speichern Sie diesen Inhalt in einer Datei, z. B. payload.txt, um ihn später mit dem Tool verifier zu verwenden.
Paket-Inclusion bestätigen (Inclusion-Proof)
Nachdem Sie die Nutzlast erstellt haben, können Sie jetzt prüfen, ob das Paket im Transparenzlog enthalten ist. Erstellen Sie das Inclusion-Proof-Tool aus dem Repository android-binary-transparency, das Sie zuvor geklont haben:
go build cmd/verifier/verifier.go
Dadurch sollte in diesem Verzeichnis eine ausführbare Datei mit dem Namen verifier erstellt werden.
Führen Sie die Prüfung aus, geben Sie den Pfad zur Nutzlast an und legen Sie den Logtyp fest:
computer:android-binary-transparency$ PAYLOAD_PATH=PATH_TO_PAYLOAD_DIR/payload.txt
computer:android-binary-transparency$ ./verifier --payload_path=${PAYLOAD_PATH} --log_type=google_1p_apk
Die Prüfung verwendet den Prüfpunkt und den Log-Inhalt (aus dem Kachelverzeichnis), um zu prüfen, ob sich Ihre APK-Nutzlast im Transparenzlog befindet. So wird bestätigt, dass sie von Google veröffentlicht wurde.
Der Befehl gibt Folgendes an stderr aus:
OK. inclusion check success!, wenn das Paket im Log enthalten ist.FAILURE, wenn das nicht der Fall ist.
Alle Pakete auf einem Gerät automatisch bestätigen
Angesichts der Anzahl der Google-Apps, die möglicherweise auf Ihrem Gerät vorinstalliert sind, kann es mühsam sein, jede App einzeln aufzulisten und Inclusion-Proofs durchzuführen.
Wir bieten ein weiteres automatisiertes Tool namens Uraniborg, mit dem alle derzeit auf Ihrem Gerät installierten Pakete erkannt und gemessen werden können.
Die Ausgabe wird direkt an das Tool verifier weitergeleitet, sodass Sie die Transparenz aller Apps auf Ihrem Gerät in einem einzigen Schritt ermitteln und bestätigen können.
Um diesen automatisierten Workflow zu verwenden, muss Ihr Android-Gerät über ADB mit Ihrem Computer verbunden sein. Der Quellcode für Uraniborg ist ebenfalls im Repository android-binary-transparency enthalten.
Führen Sie das Skript automate_observation.py im Verzeichnis scripts/python aus:
python3 automate_observation.py --pull-all-apks --perform_inclusion_proof_check --verifier_path <path_to_verifier_executable>
Nach Abschluss des Skripts sollte die Ausgabe in etwa so aussehen:
INFO:automate_observation.py:main(858): SUCCESS! Hubble was successfully deployed and executed on connected device ABCDEFGHN01234.
INFO:automate_observation.py:main(860): Hubble output files can be found at: /Users/user/home/src/android-binary-transparency/uraniborg/scripts/python/results/google/lynx/lynx:16/BP4A.260105.004.E1/14587043:user/release-keys/001
Rufen Sie das vom Skript angegebene Ausgabeverzeichnis auf.
Suchen Sie dort die Datei packages_with_inclusion_proof_signal.txt.
In dieser Datei ist jedes installierte Paket zusammen mit dem Feld inclusion_proof_verified aufgeführt, das entweder auf true oder false gesetzt ist.
Ein Wert von true bedeutet, dass das Paket kryptografisch anhand des Transparenzlogs bestätigt wurde und den Angaben des Logs entspricht.