最近收到社区反馈,市面上存在不法分子制作的假 iToken APK 包,可能会危害到用户的资产安全。
不法分子会通过反编译的方式在正版 APK 中植入可以盗取私钥、助记词的代码,然后打包发布到其他网站或渠道中进行诈骗行为。
当用户通过搜索引擎或者他人推荐的方式下载和使用了钱包,那么他的私钥或助记词将发生泄露,从而丢失所有资产。
用户可以浏览此教程,通过 SHA256 / PGP 验证确认当前使用的 APK 包是否为正版。
iToken安卓 APK 包验证目前支持的验证方式:
1. SHA256 验证
2. PGP 验证
以下为相关iToken官网 APK 包 PGP 公钥信息
公钥:342CF9D309E63E057919A8F241336B599A145D0C
用户 id:build_iToken <feedback@itoken.com>
SHA256 是什么?
SHA256 值是通过 SHA256 算法计算 APK 包的哈希值得到的。用户可通过对比下载的 APK 包的 SHA256 值与官方给出的 SHA256 值,验证文件内容是否被篡改。
SHA256 算法,对比市面上常见的 MD5 算法,计算耗时更长,但是更安全。
PGP 是什么?
PGP (Pretty Good Privacy)是一种更高级别的加密签名方案,可以用来做完整性验证与可信来源验证。PGP 加密先通过 RSA 算法计算出 APK 的文件摘要,然后使用 iToken 官方持有的私钥(存储在硬件中)加密该文件摘要来创建签名文件。
用户后续可通过 PGP 公钥服务器导入 iToken PGP 公钥,然后使用此公钥及签名文件进行解密,并对比用户本地的 APK 对应的文件摘要,如果两者一致,则说明此APK是完整的,从而保证APK没有被篡改;同时也证明了此 APK 是 iToken 官方发布的APK(他人无法获取iToken官方的私钥来对 APK 的文件摘要进行签名)。
签名文件是什么?
PGP 验证方法中使用到的签名文件,指的是使用 PGP 加密方法,先通过 RSA 算法计算 APK 的文件摘要,然后使用 iToken 官方的私钥(存储在硬件中)加密该文件摘要来创建的一个加密文件。主要用来验证 APK 包是否为官方发布的 APK。
官网 APK 包的 SHA256 值及签名文件
版本号 |
SHA256值 |
签名文件 |
v4.0.3.020 |
368dc60913ffe71b33eb30777e5c24a4dbe5f23dcd4f26b645e4246251c88bf7 |
|
v4.0.4.031 |
e51f9acbc41372dc522cf1b88b151b66de4b93df9bc071c191186100cc7b7317 |
如何进行 SHA256 验证
在线工具计算 SHA256 值
1.将iToken APK 包下载到电脑;
2.打开网站:https://oktools.net/file-hash 注:这是一个计算文件 SHA256 值的工具网站;
3.将应用安装包上传到该网站,获取安装包文件 SHA256 值。如下图,在绿色区域下方确认已勾选 SHA256,并将安装包拖拽到下图的绿色区域:
4.将获取到的 SHA256 值与文档上方「官方钱包的 SHA256 值及签名文件」表中的SHA256 值校对,如果一致,则说明是正版;反之则说明是假冒安装包,请立即停止使用该应用,再通过官网:https://www.itoken.com下载正版 iToken 并转移资产。
MacOS 获取 SHA256 值步骤
1.将 iToken APK 包放在系统桌面;
2.打开终端(默认路径:启动台 - 其它 - 终端)并输入 cd desktop/,按「回车键」确认;
3.输入 shasum -a 256 安装包的文件名,按「回车键」确认,即可获取安装包的 SHA256 值;
4.将获取到的 SHA256 值与文档上方「官方钱包的 SHA256 值及签名文件」表中的SHA256 值校对,如果一致,则说明是正版;反之说明是假冒安装包,请立即停止使用该应用,再通过官网:https://www.itoken.com下载正版 iToken 并转移资产。
Windows 获取 SHA256 值步骤
1.将下载的 iToken 安装包放在系统桌面;
2.打开命令行工具(Win 键 + R,输入 CMD,回车)并输入 cd desktop/,按「回车键」确认;
3.输入 certUtil -hashfile 安装包的文件名 SHA256,按「回车键」确认,获取安装包文件 SHA256 值
4.将获取到的 SHA256 值与文档上方「官方钱包的 SHA256 值及签名文件」表中的SHA256 值校对,如果一致,则说明是正版;反之说明是假冒安装包,请立即停止使用该应用,再通过官网:https://www.itoken.com下载正版 iToken 并转移资产。
如何进行 PGP 验证
1.安装相关客户端 :
方法一:安装 GPG Suite:https://gpgtools.org/ (推荐非开发者用户使用)
方法二:下载安装 GnuPG(简称GPG) 源码:https://gnupg.org/download/index.html
进入源码目录,执行: ./configure & make install (可按照提示下载依赖包)
方法三:下载 GnuPG 对应平台的安装包:https://gnupg.org/download/index.html
如Mac OS:GnuPG for OS X
安装成功之后,在终端/命令行(具体打开教程在 SHA256 教程中已撰写,不再赘述)下执行gpg --help, 显示版本信息,则代表安装成功。
2.导入 iToken PGP 公钥
方法一:使用 GPG Keychain 管理软件(安装GPG Suite 时,自带该软件),点击“查找公钥”,输入公钥:342CF9D309E63E057919A8F241336B599A145D0C,将搜索到的公钥导入即可;
方法二:终端/命令行窗口, 输入: gpg --recv-keys 342CF9D309E63E057919A8F241336B599A145D0C 将会自动导入公钥。
3.下载 iToken APK 以及对应版本的 PGP 签名文件(最新版本可在官网下载),并放在系统桌面;
4.进行验证:
*验证完整性,非常重要,推荐每次下载完成,安装之前都要验证下载文件的完整性。
(1)终端/命令行窗口, 输入 cd desktop/,按「回车键」确认;
(2)输入:gpg --verify 安装包的签名文件名 安装包的文件名,按「回车键」确认。
如输出:gpg: Good signature(或者完整性签名),则说明是正版;反之说明是假冒安装包,请立即停止使用该应用,再通过官网:https://www.itoken.com下载正版 iToken 并转移资产。
评论
0 条评论
文章评论已关闭。