Ingress APK Sideload

Néhány nappal ezelőtt Ingress-es hangout-on vetődött fel a dolog, hogy esetleg az egyes apk-k egyedileg vannak szignózva minden egyes felhasználónak és hogy állítólag a NIA már ban-t is osztott ki emiatt. Gondoltam rámozdulok az ügyre és kiderítem amit ki lehet. Rögtön azzal kezdem hogy a neten elérhető információk több mint hiányosak. Alig lehet első kézből találni valamit. A legtöbb leírás mindig olyan hogy valaki mással történt a dolog, ismerős ismerősével, vagy csak hallott róla, ami mondanom sem kell rendesen megkérdőjelezi nevezett történetek valóságtartalmát.

Mi az állítás: Az ingress APK-k per-user aláírásokkal rendelkeznek amely minden felhasználónál más és más. Emiatt a NIA bannol ha más APK-ját teszed fel a készülékedre.

Mi következik ebből: Ha több felhasználó készülékéről kinyerjük az APK-kat, akkor azok között nem lehet kettő egyforma. Az nem feltétlen teljesül hogy az egy felhasználó különböző eszközeire telepített apk-k egyformák, mert könnyen lehet hogy a play store android verzió, képernyőméret vagy hasonlók miatt picit más-más verziójú apk-t küld.

A fent nevezett dolgok könnyen ellenőrizhetők. Beszereztem a következő 4 verziót az ingress 1.55.2-es apk-ból:

  • USA T-Mobile Nexus 4, USA account-tal letöltve
  • HUN Asus Transformer Prime (tablet), Saját accounttal letöltve
  • HUN T-Mobile Nexus 5, Saját accounttal letöltve
  • HUN T-Mobile Galaxy Nexus, HUN idegen accounttal letöltve

    Sajnos nem tudtam több verziót beszerezni mert a legtöbb ismerősöm készüléke mint kiderült nem rootolt :S

    A fájlok tartalmi egyezőségét sha256 checksum számítással végeztem:
    A fenti képen látható képből (időközben az eredeti nagy felbontású kép elveszett) néhány következtetés minden kétséget kizárólag levonható:
  1. Az egyes ingress verziókhoz többfajta apk létezik
  2. Különböző accountok-ról letöltött apk-k nem különböznek semmiben, nincs per-user ID/signature (1. és 3. fájlok)
  3. Ugyanazon user különböző eszközeire letöltött apk különbözhet (2. és 3. fájlok). Ez valószínűleg a tablet/telefon különbségnek vagy az android verzióknak köszönhető. Biztosat ezek az adatok alapján nem mondhatunk.
  4. Az USA verzió különbözősége azt mutatja hogy lehetséges hogy geográfiailag is különböznek az APK-k

    A fentiek alapján én a következőket látom bizonyítottnak:
    Ingress APK-t a netről letölteni és sideload-olni veszélyes. Nem azért mert az apk-k egyedileg vannak aláírva, hanem mert pl ha te fogsz egy USA, tablet verziót és felteszed a magyar telefonodra, ott könnyen elképzelhető hogy a NIA bizony látja hogy itt furfangosság van,

    Ugyanakkor

    Ingress APK-t a netről letölteni veszélytelen ha a forrásod megbízható, és a feltöltő feltűnteti hogy pontosan hogyan szerezte be és melyik APK-t, lehetőleg checksum feltüntetésével.
    Akinek esetleg van rootolt telefon/tablet elérhető közelségben, értékelném ha vagy elküldené az 1.55.2 APK-t, vagy számolna rá egy sha256 checksumot hogy tudjunk tovább agyalni a témán.

    Kérdések, ellenvélemények jöhetnek nyugodtan. Let the games begin :).