Ingress APK Sideload
Néhány nappal ezelőtt Ingress-es hangout-on vetődött fel a dolog, hogy esetleg az egyes apk-k egyedileg vannak szignózva minden egyes felhasználónak és hogy állítólag a NIA már ban-t is osztott ki emiatt. Gondoltam rámozdulok az ügyre és kiderítem amit ki lehet. Rögtön azzal kezdem hogy a neten elérhető információk több mint hiányosak. Alig lehet első kézből találni valamit. A legtöbb leírás mindig olyan hogy valaki mással történt a dolog, ismerős ismerősével, vagy csak hallott róla, ami mondanom sem kell rendesen megkérdőjelezi nevezett történetek valóságtartalmát.
Mi az állítás: Az ingress APK-k per-user aláírásokkal rendelkeznek amely minden felhasználónál más és más. Emiatt a NIA bannol ha más APK-ját teszed fel a készülékedre.
Mi következik ebből: Ha több felhasználó készülékéről kinyerjük az APK-kat, akkor azok között nem lehet kettő egyforma. Az nem feltétlen teljesül hogy az egy felhasználó különböző eszközeire telepített apk-k egyformák, mert könnyen lehet hogy a play store android verzió, képernyőméret vagy hasonlók miatt picit más-más verziójú apk-t küld.
A fent nevezett dolgok könnyen ellenőrizhetők. Beszereztem a következő 4 verziót az ingress 1.55.2-es apk-ból:
- USA T-Mobile Nexus 4, USA account-tal letöltve
- HUN Asus Transformer Prime (tablet), Saját accounttal letöltve
- HUN T-Mobile Nexus 5, Saját accounttal letöltve
- HUN T-Mobile Galaxy Nexus, HUN idegen accounttal letöltve
Sajnos nem tudtam több verziót beszerezni mert a legtöbb ismerősöm készüléke mint kiderült nem rootolt :S
A fájlok tartalmi egyezőségét sha256 checksum számítással végeztem:
A fenti képen látható képből (időközben az eredeti nagy felbontású kép elveszett) néhány következtetés minden kétséget kizárólag levonható:
- Az egyes ingress verziókhoz többfajta apk létezik
- Különböző accountok-ról letöltött apk-k nem különböznek semmiben, nincs per-user ID/signature (1. és 3. fájlok)
- Ugyanazon user különböző eszközeire letöltött apk különbözhet (2. és 3. fájlok). Ez valószínűleg a tablet/telefon különbségnek vagy az android verzióknak köszönhető. Biztosat ezek az adatok alapján nem mondhatunk.
- Az USA verzió különbözősége azt mutatja hogy lehetséges hogy geográfiailag is különböznek az APK-k
A fentiek alapján én a következőket látom bizonyítottnak:
Ingress APK-t a netről letölteni és sideload-olni veszélyes. Nem azért mert az apk-k egyedileg vannak aláírva, hanem mert pl ha te fogsz egy USA, tablet verziót és felteszed a magyar telefonodra, ott könnyen elképzelhető hogy a NIA bizony látja hogy itt furfangosság van,
Ugyanakkor
Ingress APK-t a netről letölteni veszélytelen ha a forrásod megbízható, és a feltöltő feltűnteti hogy pontosan hogyan szerezte be és melyik APK-t, lehetőleg checksum feltüntetésével.
Akinek esetleg van rootolt telefon/tablet elérhető közelségben, értékelném ha vagy elküldené az 1.55.2 APK-t, vagy számolna rá egy sha256 checksumot hogy tudjunk tovább agyalni a témán.
Kérdések, ellenvélemények jöhetnek nyugodtan. Let the games begin :).