Verifikasi Tanda Tangan Aplikasi: Cara Kerjanya, Cara Menonaktifkannya dengan Xpose, dan Mengapa Anda Tidak Harus Melakukannya

Anda dapat dengan mudah menonaktifkan verifikasi tanda tangan aplikasi Android (APK) menggunakan Xpose Framework, tetapi Anda tidak boleh melakukan ini di sebagian besar kasus.

Jika Anda pernah mencoba memodifikasi dan menginstal ulang aplikasi sistem, Anda mungkin mengalami pemeriksaan tanda tangan aplikasi dalam satu atau lain bentuk. Entah Anda menghapus aplikasi asli sebelum melanjutkan, atau Anda memberi APK modifikasi Anda nama paket lain agar dapat diinstal tanpa terlebih dahulu menghapus aplikasi lama. Dan dalam kedua kasus tersebut, Anda juga harus menandatangani ulang sendiri aplikasi tersebut agar dapat menginstalnya terlebih dahulu.

Anda dapat mengatasi semua perilaku ini dengan menonaktifkan sementara pemeriksaan tanda tangan aplikasi. Namun sebelum kita masuk ke inti metaforis artikel ini dan memberi tahu Anda cara melakukannya, penting bagi kita untuk membicarakan sedikit tentang pemeriksaan tanda tangan aplikasi, apa fungsinya, dan alasannya sebaiknya tidak pernah menghapusnya dalam sebagian besar kasus.

Dasar-dasar Verifikasi Tanda Tangan Android

Secara default, OS Android memerlukan semua aplikasi yang harus ditandatangani untuk diinstal. Dalam istilah yang sangat mendasar, ini berarti tanda tangan aplikasi digunakan untuk mengidentifikasi pembuat aplikasi (yaitu memverifikasi keabsahannya), serta membangun hubungan kepercayaan antar aplikasi dengan tanda tangan yang sama. Dengan yang pertama, Anda yakin (sampai tingkat yang wajar) bahwa aplikasi dengan tanda tangan yang valid berasal dari pengembang yang diharapkan. Dan melalui yang terakhir, aplikasi yang ditandatangani dengan kunci pribadi yang sama dapat berjalan dalam proses yang sama dan berbagi data pribadi. Kemudian ketika Anda menginstal pembaruan aplikasi, OS Android memeriksa tanda tangan ini untuk memastikan bahwa: a) APK belum ada dirusak sejak ditandatangani, dan B) sertifikat aplikasi cocok dengan yang diinstal saat ini Versi: kapan.

Jadi bagaimana pengaruh semua ini terhadap saya di dunia nyata? Sederhana saja, sungguh. Jika Anda mendapatkan APK dari luar Google Play Store dan mencoba menginstalnya sebagai pembaruan untuk aplikasi yang Anda instal saat ini (baca: nama paket yang sama), OS akan mencoba memvalidasi sertifikat aplikasi untuk memastikan bahwa sertifikat tersebut berasal dari inisial yang sama pengembang. Jika sertifikatnya cocok, penginstalan aplikasi akan berjalan sesuai rencana, aplikasi Anda akan mempertahankan data yang ada, dan semuanya beres. Jika tanda tangan tidak valid (menunjukkan bahwa APK telah dirusak) atau jika sertifikat tidak cocok dengan aplikasi asli, penginstalan akan gagal. Dan seperti yang dinyatakan sebelumnya, sertifikat aplikasi hanya akan cocok jika ditandatangani dengan kunci privat yang sama dengan yang digunakan untuk menandatangani versi sebelumnya. Dengan kata lain, Anda hanya dapat menginstal aplikasi jika aplikasi tersebut memiliki tanda tangan valid yang cocok dengan APK isinya, dan Anda hanya dapat menginstal pembaruan jika sertifikatnya juga cocok dengan versi sebelumnya dari aplikasi.

[Selain lucu-lucuan dalam artikel padat ini, ada satu contoh umum di mana kunci penandatanganan aplikasi pribadi hilang atau disusupi. Tentu saja yang saya maksud adalah aplikasi Authenticator milik Google, yang menerima pembaruan yang mengubah nama paketnya com.google.android.apps.authenticator ke com.google.android.apps.authenticator2 dalam pembaruan sekitar dua tahun lalu. Karena perubahan ini, semua pembaruan aplikasi Authenticator selanjutnya hanya dapat diterbitkan dengan nama paket baru--dengan tanda tangan baru dihasilkan oleh kunci penandatanganan pribadi baru.]

Mengapa Anda Mungkin Ingin (Sementara) Menonaktifkan Verifikasi Tanda Tangan

Sekarang, mari kita lihat skenario potensial di mana kita mungkin ingin menonaktifkan sementara verifikasi tanda tangan aplikasi. Seperti disebutkan di awal artikel ini, verifikasi tanda tangan bisa sedikit memusingkan saat memodifikasi aplikasi sistem yang ada. Jika Anda menginstal versi aplikasi sistem yang dimodifikasi, Anda tidak akan dapat menandatangani aplikasi dengan sertifikat yang valid dan cocok. Dalam kasus seperti ini, biasanya Anda ingin menghapus aplikasi yang ada terlebih dahulu, lalu menginstal versi yang dimodifikasi seperti biasa. Anda juga dapat menonaktifkan verifikasi tanda tangan, namun lebih baik (dan lebih aman) membiarkan verifikasi tanda tangan tetap aktif dan cukup hapus versi lama agar versi baru dapat diinstal. Namun, hal ini bisa menjadi sedikit masalah jika aplikasi yang Anda coba ganti memiliki data yang tidak ingin Anda hilangkan. Tentu saja ada cara untuk menyimpan data secara manual menggunakan akses root dan memindahkannya ke versi baru aplikasi, namun pengguna mungkin juga ingin menonaktifkan verifikasi tanda tangan untuk sementara lalu melanjutkan pemeriksaan setelah itu. Atau seperti yang ditunjukkan oleh Anggota Senior XDA mcbyte_it di kolom komentar, ini juga dapat berguna dalam pengembangan aplikasi.

Bagaimana Melakukannya

Hingga saat ini, menonaktifkan verifikasi tanda tangan telah menjadi solusi buruk untuk hampir semua masalah. Ini karena ketika melakukan hal tersebut, pada dasarnya Anda membuang perlindungan bawaan Android yang memastikannya bahwa aplikasi Anda belum dirusak dan pembaruannya berasal dari versi asli pengembang. Namun sekarang berkat keajaiban Xpose Framework, Anda dapat menonaktifkan sementara verifikasi tanda tangan dan mengaktifkannya kembali setelah Anda selesai menginstal aplikasi yang dimodifikasi. Salah satu Modul Xgged tersebut yang dapat melakukan hal ini baru-baru ini dirilis oleh Anggota Senior XDA piler, dan berfungsi sesuai rencana untuk semua perangkat yang mampu menjalankan Xpose. Dengan cara ini ketika Anda ingin menginstal pembaruan aplikasi yang dimodifikasi yang belum ditandatangani dengan benar, Anda dapat melakukannya dengan mudah aktifkan modul, reboot, instal pembaruan aplikasi yang dimodifikasi, nonaktifkan modul, reboot, dan bersenang-senanglah jalan.

Sekarang setelah Anda mengetahui cara menonaktifkan verifikasi tanda tangan untuk sementara, penting untuk menegaskan kembali betapa pentingnya itu adalah membiarkan verifikasi tanda tangan diaktifkan setiap saat, kecuali Anda memiliki alasan yang sangat, sangat bagus untuk menonaktifkannya dia. Oleh karena itu, Anda sebaiknya hanya menggunakan alat tersebut untuk menerapkan pembaruan aplikasi yang Anda buat sendiri dan kapan ada keadaan khusus yang mengharuskan Anda melakukannya daripada sekadar mencopot pemasangan aplikasi lama terlebih dahulu.

Aman, dan gunakan ini dengan bijaksana.