Перейти к содержанию

Сравниваемые версии приложения идентичны

Описание

Инструмент выполнил сравнение контрольной APK и загруженной на сканирование.
Все элементы – classes*.dex, Smali-код, ресурсы, манифест и т.д. – совпали после исключения допустимых динамических полей (ID аналитики, метки времени и т.п.).
Это подтверждает, что:

  • сборки не претерпели изменений;
  • цепочка поставки «CI → Store» не была скомпрометирована;
  • на устройство пользователя попадёт ровно то же приложение, которое прошло проверку ИБ.

Потенциальные последствия

  • Отсутствуют отрицательные эффекты – целостность подтверждена, дополнительных рисков не выявлено.
  • Положительный эффект – служба ИБ может надёжно соотнести результаты своего аудита с версией, доступной конечным пользователям.

Дополнительные рекомендации

  • Интегрируйте Play Integrity API (или SafetyNet для старых API) – тогда сервер сможет убедиться, что у клиента установлена неподменённая версия. (Android Developers)

Ссылки

  1. SLSA — Supply-chain Levels for Software Artifacts (SLSA)
  2. Reproducible Builds и их польза для безопасности Android (Consagous Technologies)
  3. Play Integrity API — обзор (Android Developers)
  4. Stack Overflow: Tamper-detection & SafetyNet (Stack Overflow)
К началу