Bu sayfada, Android cihazınıza yüklenen APK veya APEX'in, Hak Talep Eden Model'de belirtilen iddialarla eşleştiğinin nasıl doğrulanacağı açıklanmaktadır. Bu işlem, APK'yı cihazınızdan çekmeyi ve çıkarılan yapıda günlük ekleme kanıtı oluşturmayı içerir.
Doğrulama Süreci
Şeffaflık günlüğü, karma değerlerden oluşan bir Merkle ağacıyla uygulanır. Bir yaprak düğüm veri içerir ve bir üst düğüm, alt öğelerinin karma değerini içerir.
Şeffaflık günlüklerinin kurcalamaya karşı korumalı özelliğini iki temel hesaplama doğrular: dahil etme kanıtı ve tutarlılık kanıtı. Dahil etme kanıtı, günlükte belirli bir APK sürümü için giriş olduğunu onaylar. Bu günlük girişi, cihaza yüklenen APK dosyasının SHA256 özetini içeren bir karma değer içerir. Tutarlılık kanıtı, yeni girişler eklendiğinde yeni kontrol noktasının ağacın önceki sürümleriyle kriptografik olarak tutarlı kalmasını (veya ağacın kurcalanmamasını) sağlar. Bu kılavuzda, en son kontrol noktalarına karşı tutarlılık kanıtını sürekli olarak gerçekleştirmek için tanıklardan yararlanırken dahil etme kanıtını hesaplama sürecine odaklanıyoruz.
Kapsam dahilindeki bir APK'yı doğrulamak için, şahit olunan bir kontrol noktasına karşı dahil etme kanıtı gerçekleştirin. Bu günlüğü, standartlaştırılmış bir tanık protokolü kullanarak herkese açık bir tanık ağıyla entegre etmeyi planladığımızı belirtmek isteriz. Bu entegrasyon, tanık olunmuş kontrol noktaları sağlayarak günlüğün tutarlılığını garanti eder.
Cihazınızdaki Google uygulamalarının, davacı modelinde belirtilen iddialara uygun olduğunu doğrulamak için aşağıdaki adımları uygulayın.
Dahil Etme Kanıtı
Cihazınızdaki kapsanan bir APK'nın günlükte olduğunu doğrulamak için APK'yı çıkarabilir, karmasını hesaplayabilir ve bu karmanın yayınlanan kontrol noktasında olup olmadığını kontrol etmek için dahil etme kanıtı kullanabilirsiniz. Başarılı bir dahil etme kanıtı, tehdit modelinde açıklanan risklere karşı güvence sağlar ve uygulamanın meşru bir Google uygulaması olduğunu onaylar.
APK'nın günlükte yer aldığını doğrulama
Birinci taraf Google uygulaması olduğunu iddia eden tüm uygulamalar bu günlükle karşılaştırılarak doğrulanabilir.
Doğrulama Ön Koşulları
Ayıklanan bir APK'yı doğrulamadan önce bilgisayarınıza aşağıdaki araçlar yüklenmelidir:
Android Debug Bridge (ADB)
ADB, Android SDK Platform Araçları web sitesinde bulunan ve Android cihazlarla iletişim kuran bir araçtır.
AAPT2
AAPT2 (Android Öğe Paketleme Aracı), Android uygulamasının kaynaklarını derlemek ve paketlemek için kullanılan bir derleme aracıdır.
Bu araç, Android SDK Derleme Araçları 26.0.2 ve sonraki sürümlerde bağımsız bir araç olarak kullanılabilir.
Golang
Doğrulama aracı Go ile yazılmıştır. Aracı oluşturmak için Go sitesinden Go 1.17 veya sonraki sürümlerini yükleyin.
Inclusion Proof doğrulayıcı
verifier adlı bir Go modülünü android-binary-transparency GitHub deposunda yayınlıyoruz.
Bu araç, bir paketin dahil olup olmadığını kontrol etmek için Google 1. Taraf APK şeffaflık günlüğünü sorgular.
Bu aracı kullanmak için önce depoyu yerel bilgisayarınıza klonlayın:
git clone https://github.com/android/android-binary-transparency
Doğrulayıcının kaynak kodunu android-binary-transparency deposunda bulabilirsiniz.
Doğrulama için Yük Oluşturma
Ayıklanan APK'nızı doğrulamak için APK'dan elde edilen bilgileri kullanarak bir günlük yükü oluşturmanız gerekir.
Başlamadan önce adb bağlantılarına izin vermek için cihazınızda USB üzerinden hata ayıklamayı etkinleştirin.
Ardından, cihazınızda yüklü APK'yı bulun. Bu kılavuzda, çalışma örneği olarak Google Play Hizmetleri APK'sı (com.google.android.gms) kullanılmaktadır.
adb shell pm path com.google.android.gms
Şuna benzer bir çıkış alırsınız:
computer:~$ adb shell pm path com.google.android.gms
package:/data/app/~~oI3N-m7I3VNMk5eKUCscQg==/com.google.android.gms-O79jYXgqkqKaQ9IzJ5zqfA==/base.apk
package:/data/app/~~oI3N-m7I3VNMk5eKUCscQg==/com.google.android.gms-O79jYXgqkqKaQ9IzJ5zqfA==/split_CronetDynamite_installtime.apk
package:/data/app/~~oI3N-m7I3VNMk5eKUCscQg==/com.google.android.gms-O79jYXgqkqKaQ9IzJ5zqfA==/split_DynamiteLoader_installtime.apk
package:/data/app/~~oI3N-m7I3VNMk5eKUCscQg==/com.google.android.gms-O79jYXgqkqKaQ9IzJ5zqfA==/split_DynamiteModulesA_installtime.apk
package:/data/app/~~oI3N-m7I3VNMk5eKUCscQg==/com.google.android.gms-O79jYXgqkqKaQ9IzJ5zqfA==/split_DynamiteModulesC_installtime.apk
package:/data/app/~~oI3N-m7I3VNMk5eKUCscQg==/com.google.android.gms-O79jYXgqkqKaQ9IzJ5zqfA==/split_GoogleCertificates_installtime.apk
package:/data/app/~~oI3N-m7I3VNMk5eKUCscQg==/com.google.android.gms-O79jYXgqkqKaQ9IzJ5zqfA==/split_MapsDynamite_installtime.apk
package:/data/app/~~oI3N-m7I3VNMk5eKUCscQg==/com.google.android.gms-O79jYXgqkqKaQ9IzJ5zqfA==/split_MeasurementDynamite_installtime.apk
package:/data/app/~~oI3N-m7I3VNMk5eKUCscQg==/com.google.android.gms-O79jYXgqkqKaQ9IzJ5zqfA==/split_config.en.apk
package:/data/app/~~oI3N-m7I3VNMk5eKUCscQg==/com.google.android.gms-O79jYXgqkqKaQ9IzJ5zqfA==/split_config.xxhdpi.apk
package:/data/app/~~oI3N-m7I3VNMk5eKUCscQg==/com.google.android.gms-O79jYXgqkqKaQ9IzJ5zqfA==/split_maps_core_dynamite_ondemand.apk
Bu çıkış, cihazınızda com.google.android.gms için bir temel APK ve birkaç bölünmüş APK'nın yüklendiğini gösterir.
Bölünmüş APK'ların tam sayısı, cihazınızın yapılandırmasına bağlı olarak değişir.
Her bölünmüş APK, temel APK ile aynı paket adını ve sürüm kodunu paylaşır.
Listelenen APK'ları aşağıdaki komutu kullanarak Android cihazınızdan bilgisayarınıza indirin (gerçek dosya yollarınızın farklı olabileceğini unutmayın):
mkdir -p /tmp/testdir/gms && cd /tmp/testdir/gms && \
adb shell pm path com.google.android.gms | cut -d':' -f2 | tr -d '\r' | xargs -n1 adb pull
İndirilen APK'ların paket adını ve sürümünü doğrulamak için manifestlerini (AndroidManifest.xml) incelemeniz gerekir.
APK'daki manifest ikili biçimde olduğundan, bilgileri doğrudan APK'dan ayıklamak ve okumak için aapt2 aracını (ön koşullar adımında yüklenir) kullanın:
computer:/tmp/testdir/gms$ aapt2 dump badging ./base.apk
package: name='com.google.android.gms' versionCode='260834035' versionName='26.08.34 (260400-876566425)' platformBuildVersionName='Baklava' platformBuildVersionCode='36' compileSdkVersion='36' compileSdkVersionCodename='Baklava'
minSdkVersion:'35'
targetSdkVersion:'36'
...
Cihazınızda yüklü tüm bölünmüş APK'ları hesaba katana kadar ilgili bilgileri almak için bu adımı tekrarlamanız gerekir.
Çıktı, APK'nın paket adının com.google.android.gms ve sürüm numarasının (versionCode) 260834035 olduğunu onaylar.
Ardından, her APK'nın kriptografik karmasını hesaplayın:
computer:/tmp/testdir/gms$ sha256sum *.apk
66aa2d7b9752cdd61065b55c8e16739d8367fa18a0f1c8c84122369f86958f1a base.apk
c20754aee886cc55a9de91ee15c623c59d94ad22b7e435a1a48afc43cf1a106c split_config.en.apk
68c09b63a1262e0d34020c139bc77deff3c32bd2b01177abac64790a62fb3be6 split_config.xxhdpi.apk
cd746820c27babd855fa5daea6fabcdf7b44abf3060bc547adc4219212410af0 split_CronetDynamite_installtime.apk
512ee48b60fdb0787a17f84a7dc448fdbf885b2b86a9cb50525d4c22d561b0f1 split_DynamiteLoader_installtime.apk
9e0c74bdc75c50c80d4e2e580a7eda6b8391423ab1161645f41ec6cadc07d678 split_DynamiteModulesA_installtime.apk
955780ac01f59b98bd9be12968f3824ad71b762620f7bf223c569c1a6ab7056c split_DynamiteModulesC_installtime.apk
34c4a2e32d31554d55fc1519e2cfc3ed5027a090fb29b54cfc99f42d1da43bc5 split_GoogleCertificates_installtime.apk
475e18dde92472cde9d8300c082b6dc269613db03398bcd9d1987dff3e68f7b5 split_maps_core_dynamite_ondemand.apk
f83faf40f08bc13f4879302e01c08c863ca2304b4b4e7c9eaf8cd1e869bb6573 split_MapsDynamite_installtime.apk
ec6d854ddda6cd1ba2ba7af2d9fdf4f28c5c78be8713c64521c785429296738c split_MeasurementDynamite_installtime.apk
Artık Günlük İçeriği bölümünde açıklandığı şekilde biçimlendirilmiş bir günlük yükü oluşturmak için gereken tüm bilgilere sahipsiniz. Sonuçlardan bir karma seçildiğinde (her bölünmüş APK'nın karmasını doğrulamanız gerekir) günlük yükü aşağıdaki gibi görünür:
66aa2d7b9752cdd61065b55c8e16739d8367fa18a0f1c8c84122369f86958f1a
SHA256(APK)
com.google.android.gms
260834035
Dosyanın sonuna yeni satır karakteri eklediğinizden emin olun. Bu içeriği, daha sonra verifier aracıyla kullanmak üzere payload.txt gibi bir dosyaya kaydedin.
Paket dahil etme işlemini doğrulama (dahil etme kanıtı)
Yükünüzü oluşturduktan sonra paketin şeffaflık günlüğüne dahil edilip edilmediğini kontrol edebilirsiniz. Daha önce klonladığınız android-binary-transparency deposundan dahil etme kanıtı aracını oluşturun:
go build cmd/verifier/verifier.go
Bu işlem, söz konusu dizinde verifier adlı bir yürütülebilir dosya oluşturur.
Doğrulayıcıyı çalıştırın, yükünüzün yolunu belirtin ve günlük türünü belirleyin:
computer:android-binary-transparency$ PAYLOAD_PATH=PATH_TO_PAYLOAD_DIR/payload.txt
computer:android-binary-transparency$ ./verifier --payload_path=${PAYLOAD_PATH} --log_type=google_1p_apk
Doğrulayıcı, APK yükünüzün şeffaflık günlüğünde olup olmadığını kontrol etmek için kontrol noktasını ve günlük içeriklerini (tile dizininden) kullanır. Bu sayede, yükün Google tarafından yayınlandığı doğrulanır.
Komut, stderr'ye çıktı verir:
OK. inclusion check success!Paket günlükte yer alıyorsa.FAILUREdeğilse.
Bir Cihazdaki Tüm Paketleri Otomatik Olarak Doğrulama
Cihazınızda önceden yüklenmiş olabilecek Google uygulamalarının sayısı göz önüne alındığında, her uygulamayı ayrı ayrı listelemek ve dahil etme kanıtlarını tek tek gerçekleştirmek sıkıcı olabilir.
Cihazınızda yüklü olan tüm paketleri algılayıp ölçebilen Uraniborg adlı başka bir otomatik araç sunuyoruz.
Bu araç, çıktısını doğrudan verifier aracına aktarır. Böylece cihazınızdaki tüm uygulamaların şeffaflığını tek adımda keşfedip doğrulayabilirsiniz.
Bu otomatik iş akışını kullanmak için Android cihazınızın ADB üzerinden bilgisayarınıza bağlı olduğundan emin olun. UraniborgKaynak kodu da android-binary-transparency deposuna dahil edilir.
scripts/python dizininde bulunan automate_observation.py komut dosyasını çalıştırın:
python3 automate_observation.py --pull-all-apks --perform_inclusion_proof_check --verifier_path <path_to_verifier_executable>
Komut dosyası tamamlandığında aşağıdakine benzer bir çıkış görürsünüz:
INFO:automate_observation.py:main(858): SUCCESS! Hubble was successfully deployed and executed on connected device ABCDEFGHN01234.
INFO:automate_observation.py:main(860): Hubble output files can be found at: /Users/user/home/src/android-binary-transparency/uraniborg/scripts/python/results/google/lynx/lynx:16/BP4A.260105.004.E1/14587043:user/release-keys/001
Komut dosyasının belirttiği çıkış dizinine gidin.
İçinde packages_with_inclusion_proof_signal.txt adlı dosyayı bulun.
Bu dosyada, yüklenen her paket inclusion_proof_verified alanıyla birlikte listelenir. Bu alan, true veya false olarak ayarlanır.
true değeri, paketin şeffaflık günlüğüne karşı kriptografik olarak doğrulandığını ve günlüğün iddialarına uygun olduğunu onaylar.