Indice dei contenuti
Abbiamo scovato un’applicazione davvero molto interessante. Si chiama AppVerifier e vi permette di controllare con estrema facilità se le applicazioni che avete installato sul vostro smartphone sono autentiche o meno.
Quando scaricate un’applicazione, soprattutto al di fuori degli store tradizionali ma non solo, c’è sempre il rischio che stiate installando qualcosa di non autentico. Probabilmente vi sarà capitato di vedere, quando scaricate direttamente da un sito web l’APK di un’applicazione, anche la frase “controlla che il certificato corrisponda a questa chiave” o qualcosa di simile.
AppVerifier, verifica se le applicazioni installate sono autentiche
Possiamo vederlo ad esempio nella pagina di download dell’APK di Signal: https://signal.org/android/apk/:
You can verify the signing certificate on the APK matches this SHA256 fingerprint:
29:F3:4E:5F:27:F2:11:B4:24:BC:5B:F9:D6:71:62:C0
EA:FB:A2:DA:35:AF:35:C1:64:16:FC:44:62:76:BA:26
Per farla abbastanza breve è un metodo per capire se l’applicazione che state scaricando corrisponde a quella ufficiale che viene rilasciata da Signal. La stessa cosa possiamo trovarla ad esempio su Proton Mail e in generale è una buona abitudine metterla per le applicazioni che necessitano di un certo grado di sicurezza.
Questo perché se l’APK ha la stessa firma che trovate sul sito potete stare tranquilli che si tratta della stessa applicazione. Se invece vi trovate davanti un’applicazione che si chiama Signal e sembra in tutto e per tutto Signal ma ha una firma differente disinstallatela subito e scaricatela dal sito ufficiale.
Come si verifica la firma?
La particolarità di AppVerifier è proprio nell’immediatezza del controllo che altrimenti richiederebbe un minimo di lavoro. Grazie ad AppVerifier invece potete semplicemente caricare automaticamente la lista delle applicazioni installate e controllare velocemente se hanno la firma corretta.
In alcuni casi troverete già un bollino verde perché AppVerifier ha un suo database interno per le applicazioni più importanti come ad esempio WhatsApp, Proton Mail, Telegram, Catima, Signal e molte altre. Nel caso invece l’applicazione non avesse già il bollino verde e voleste controllarla vi basterà andare sul sito di riferimento, cercare la firma se è stata pubblicata e far fare un controllo all’applicazione.
Facciamo un esempio su un’applicazione che non viene riconosciuta automaticamente come FFUpdater. Se volete controllare che sia l’originale potete verificare che la chiave che viene vista da AppVerifier corrisponda a quella all’interno di questo file: https://github.com/Tobi823/ffupdater/blob/master/dev/signatures/apk_signature.txt, quindi: f4e642bb85cbbcfd7302b2cbcbd346993a41067c27d995df492c9d0d38747e62.
Scarica e prova AppVerifier
Se volete anche voi provare quest’utile applicazione, da utilizzare come detto principalmente per le applicazioni con dati sensibili e importanti, potete scaricarla seguendo le istruzioni qui sotto.
AppVerifier è disponibile anche attraverso il nuovo store chiamato Accrescent del quale non vi abbiamo ancora parlato ma che potrebbe, in futuro, diventare molto interessante. La potete comunque scaricare anche direttamente tramite APK di GitHub da aggiornare tramite Obtainium.
• •Questo tag @lealternative serve a inviare automaticamente questo post su Feddit e permettere a chiunque sul fediverso di commentarlo.
Unisciti alle comunità
