Diskussion:Installera mobilt BankID utan Google Play
För mig fungarerar BankID-appen med microG (lineageOS, installerat med Yalp Store)
Om man inte är så familjär med Java...[redigera]
För att verifiera en app. Jag hittade Bank-id app på flera ställen, ibland lika stor som Google, ibland olika. Kanske beroende på version. Men, hur mycket ger en verifiering på nätet, tex denna: https://apkpure.com/apk-signature-verification Då får man en signatur. Är det ett säkert svar? (Jag provade några, de gav samma signatur 75486743bfbebe17039d4d5de03d2f799f94b54c) Jo, BankId funkade.
- Ganska så sent svar, men iaf: Jag brukar använda apkpure (men då men en offline-signaturvalidering med jarsigner) och har iofs inte haft några problem med den. Jag provade också med en APK som inte kommer från Google Play, och det upptäckte den. Men det finns ingen information om hur signaturverifieringen fungerar (finns ingen källkod) eller vem som ligger bakom sidan och hur hen/de sköter säkerheten. Finns ett GitHub-konto som också heter APKPure som ägs av en "Allan Wu", se här: https://github.com/orgs/APKPure/people . I övrigt hittar jag ingen information alls, trots att det verkar vara en välkänd sida.
- Vill du vara på den säkra sidan så rekommenderar jag att göra signaturverifieringen själv. --SamuelLB (diskussion) 29 januari 2020 kl. 23.05 (CET)
Angående verifiering av senare versioner[redigera]
Det står i avsnittet "Verifiera APK-signatur" att verifieringen inte fungerar med version 7.8.0 och senare. Jag använde apksigner istället för jarsigner för att verifiera en APK för version 7.20.0, och det fungerade. Kanske använder nyare versioner det nya signaturformatet för APK-filer som inte längre är identiskt med JAR-signaturerna?
Kommandot för att verifiera filen är "apksigner verify --verbose com.bankid.bus.apk". Det kommer att skriva en massa varningar om att filer i "META-INF/" inte täcks av signaturen, men det gäller bara för signaturformat 1 (JAR-signaturer) - så länge det också står "Verified using v2 scheme (APK Signature Scheme v2): true" så ska det vara OK, eftersom APK-signaturer v2 täcker hela filarkivet.
"apksigner" finns t.ex. i Debian-paketet med samma namn, så om man vill använda det istället för "jarsigner" så behöver man installera det paketet istället för "openjdk".
Jag kan inte tillräckligt mycket om Android för att våga redigera själva sidan, någon annan kanske kan göra det?
- Jag tror du har rätt. Tack för infon! Jag har uppdaterat sidan. --SamuelLB (diskussion) 24 januari 2021 kl. 12.47 (CET)