Как проверить, подписан ли APK или «отладочная сборка»?

Насколько я знаю, в android "release build" подписан APK. Как это проверить по коду или у Eclipse есть какие-то секретные определения?

Мне это нужно для отладки заполнения элементов ListView из данных веб-службы (нет, logcat не вариант).

Мои мысли:

• Приложения android:debuggable, но по какой-то причине это не выглядит надежным.
• Идентификатор устройства с жестким кодированием - не лучшая идея, потому что я использую то же устройство для тестирования подписанных APK.
• Используете ручной флаг где-нибудь в коде? Правдоподобно, но когда-нибудь обязательно забудут что-то изменить, плюс все программисты ленивы.

Есть другой способ проверить, создано ли приложение с помощью сертификата отладки или выпуска, но мне больше всего кажется, что это следующий способ.

Согласно информации в документации Android « Подписание вашего приложения» , ключ отладки содержит следующее отличительное имя субъекта: « CN = Android Debug, O = Android, C = US ». Мы можем использовать эту информацию, чтобы проверить, подписан ли пакет с помощью отладочного ключа без жесткого кодирования подписи отладочного ключа в нашем коде.

Дано:

import android.content.pm.Signature;
import java.security.cert.CertificateException;
import java.security.cert.X509Certificate;

Вы можете реализовать метод isDebuggable следующим образом:

private static final X500Principal DEBUG_DN = new X500Principal("CN=Android Debug,O=Android,C=US");
private boolean isDebuggable(Context ctx)
{
    boolean debuggable = false;

    try
    {
        PackageInfo pinfo = ctx.getPackageManager().getPackageInfo(ctx.getPackageName(),PackageManager.GET_SIGNATURES);
        Signature signatures[] = pinfo.signatures;

        CertificateFactory cf = CertificateFactory.getInstance("X.509");

        for ( int i = 0; i < signatures.length;i++)
        {   
            ByteArrayInputStream stream = new ByteArrayInputStream(signatures[i].toByteArray());
            X509Certificate cert = (X509Certificate) cf.generateCertificate(stream);       
            debuggable = cert.getSubjectX500Principal().equals(DEBUG_DN);
            if (debuggable)
                break;
        }
    }
    catch (NameNotFoundException e)
    {
        //debuggable variable will remain false
    }
    catch (CertificateException e)
    {
        //debuggable variable will remain false
    }
    return debuggable;
}

Чтобы проверить флаг отлаживаемости, вы можете использовать этот код:

boolean isDebuggable =  ( 0 != ( getApplicationInfo().flags & ApplicationInfo.FLAG_DEBUGGABLE ) );

Котлин:

val isDebuggable = 0 != applicationInfo.flags and ApplicationInfo.FLAG_DEBUGGABLE

Дополнительную информацию см. В разделе « Защита приложений Android LVL» .

В качестве альтернативы, если вы правильно используете Gradle, вы можете проверить, BuildConfig.DEBUGистинно оно или ложно.

Отвечает Марк Мерфи

Самым простым и лучшим долгосрочным решением является использование BuildConfig.DEBUG. Это booleanзначение будет trueдля отладочной сборки, в falseпротивном случае:

if (BuildConfig.DEBUG) {
  // do something for a debug build
}

Если вы хотите проверить APKстатически, вы можете использовать

aapt dump badging /path/to/apk | grep -c application-debuggable

Это выводит, 0если APKне удается отладить, и 1если это так.

Может поздно, но iosched использует BuildConfig.DEBUG

Сначала добавьте это в свой файл build.gradle, это также позволит параллельно запускать сборки отладки и выпуска:

buildTypes {
    debug {
        applicationIdSuffix ".debug"
    }
}

Добавьте этот метод:

public static boolean isDebug(Context context) {
    String pName = context.getPackageName();
    if (pName != null && pName.endsWith(".debug")) {
        return true;
    } else {
        return false;
    }
}

Отладочная сборка также подписывается, только с другим ключом. Он автоматически генерируется Eclipse, и его сертификат действителен только в течение одного года. В чем проблема android:debuggable? Вы можете получить это значение из кода, используя PackageManager.

Еще один вариант, о котором стоит упомянуть. Если вам нужно выполнить какой-то код только при подключенном отладчике, используйте этот код:

if (Debug.isDebuggerConnected() || Debug.waitingForDebugger()) { 
    //code to be executed 
}

Решено с помощью android:debuggable. Это была ошибка при чтении элемента, когда в некоторых случаях флаг отладки для элемента не сохранялся в записи, которая if (m.debug && !App.isDebuggable(getContext()))всегда оценивалась false. Виноват.

Решение на Kotlin, которое я использую сейчас:

@SuppressLint("PackageManagerGetSignatures")
@Suppress("DEPRECATION")
fun isSigned(context: Context?): Boolean {
    return (context?.packageManager?.getPackageInfo(context.packageName, PackageManager.GET_SIGNATURES)?.signatures?.firstOrNull()?.toByteArray()
            ?.let {
                return@let CertificateFactory.getInstance("X.509").generateCertificate(ByteArrayInputStream(it))
            } as? X509Certificate)
            ?.issuerDN
            ?.name
            ?.contains("O=Android", ignoreCase = false) ?: true
}

таким образом я все еще могу ПОДПИСАТЬСЯ при отладке, и о них будет сообщено в Crashlytics (например, для процесса QA)