Qu'est-ce que l'empreinte de signature de l'APK officiel Binance ? Comment comparer les signatures pour éviter les contrefaçons

La vérification de hachage garantit que « ce package n'a pas été modifié », tandis que la vérification de signature garantit que « ce package a été signé par Binance lui-même ». Chacune a son rôle. Cet article explique clairement le mécanisme de signature de l'APK Binance et les méthodes de comparaison, ce qui peut vous aider à démasquer les « packages contrefaits republiés après une modification de hachage ». Pour télécharger le package d'installation, veuillez vous rendre sur le site officiel de Binance ou utiliser directement l'entrée de l'application officielle Binance ; pour iPhone, suivez le tutoriel d'installation iOS.

Qu'est-ce qu'une signature APK

Chaque APK Android doit être signé avec une clé privée lors de son empaquetage, et le système Android vérifie cette signature lors de l'installation :

• Nouvelle installation : Tant que le format de la signature est valide, l'installation est possible.
• Installation par mise à jour : Le nouveau package doit être signé avec la même clé privée que la version déjà installée, sinon une erreur « Incompatibilité de signature » est signalée.

La clé privée est conservée par l'équipe de développement de Binance et est inaccessible aux tiers. Par conséquent, même si l'interface d'un APK contrefait est identique, son empreinte de signature sera toujours différente de celle du package authentique.

Versions de signature : V1, V2, V3

Le mécanisme de signature Android comporte trois versions principales :

L'APK Binance utilise simultanément V1 + V2 + V3, il est donc compatible avec tous les appareils, d'Android 7 jusqu'à la dernière version.

Comment vérifier l'empreinte de signature d'un APK

Méthode 1 : Ligne de commande (apksigner) L'outil apksigner fourni officiellement par Google permet de voir directement l'empreinte de signature. Il nécessite l'installation préalable des outils en ligne de commande du SDK Android. La commande est approximativement apksigner verify --print-certs suivie du chemin de l'APK. La sortie affichera les empreintes SHA-1 et SHA-256.

Méthode 2 : Outils graphiques Sur Windows, APK Studio ou ApkTool GUI sont recommandés ; il suffit d'y glisser-déposer l'APK pour voir les informations du certificat.

Méthode 3 : Vérification sur téléphone Android Installez une visionneuse d'informations APK (comme APK Analyzer), ouvrez l'APK puis passez à l'onglet « Certificat ».

Méthode 4 : Vérification d'une version déjà installée Si Binance est déjà installé, allez dans l'application → Paramètres → À propos de l'application → Informations de sécurité (sur certaines versions) pour voir le résumé de la signature actuelle.

Caractéristiques de l'empreinte de signature officielle authentique

Caractéristiques du certificat de signature officiel de Binance :

Binance ne publie pas activement la chaîne d'empreinte exacte (pour éviter qu'elle ne serve de modèle pour des contrefaçons précises). Mais vous pouvez utiliser la « méthode d'auto-comparaison » : téléchargez l'APK depuis le site officiel sur deux appareils propres distincts, et vérifiez si les empreintes de signature correspondent. Si elles correspondent, c'est fiable.

Caractéristiques de signature courantes des packages contrefaits

Les escrocs resignent généralement les packages contrefaits, voici leurs caractéristiques :

• L'émetteur indique des termes génériques comme « Android », « Test », « Debug ».
• Longueur de clé publique de 1024 bits (non sécurisée, déjà signalée par les versions récentes d'Android).
• Période de validité courte (un an ou quelques années).
• L'algorithme est MD5withRSA (obsolète).

Ce sont les traces de signatures à bas coût. Si vous voyez l'une de ces caractéristiques, abandonnez immédiatement cet APK.

Processus de vérification de signature lors de l'installation

Lorsque vous cliquez sur un APK pour l'installer, le système Android effectue automatiquement ces vérifications en arrière-plan :

1. Décompression de l'APK et localisation des fichiers de signature dans le répertoire META-INF.
2. Utilisation de la clé publique du bloc de signature pour vérifier le hachage global de l'APK.
3. Si réussi, et que la vérification V2/V3 réussit également, passage à l'étape suivante.
4. Vérification si une application avec le même nom de package est déjà installée sur l'appareil.
5. Si oui, comparaison de la clé publique de signature entre l'ancien et le nouveau package.
6. Différente → Affichage de « Incompatibilité de signature, impossible d'installer » et blocage.
7. Identique → Exécution du processus de mise à jour.

L'ensemble du processus est transparent pour l'utilisateur, mais en comprendre le principe aide à résoudre les erreurs.

Gestion de l'erreur « Incompatibilité de signature »

Le scénario le plus courant est le suivant : l'installation précédente était une version piratée de Binance téléchargée depuis un store tiers, et vous souhaitez maintenant passer au package officiel, mais l'installation échoue. Il n'y a qu'une seule façon de gérer cela : désinstallez d'abord l'ancienne version, puis installez la nouvelle. La désinstallation effacera le cache local, mais le compte cloud n'est pas perdu, il suffit de se reconnecter.

S'il y a une incompatibilité de signature lors de la mise à niveau de la version officielle v1 vers la v2 (très rare), cela peut être dû à :

• L'une est à signature unique V1, l'autre à double signature V1+V2, mais le certificat V1 a été modifié.
• L'utilisateur a installé la « version bêta de Binance » (l'environnement de développement et de test utilise une clé privée différente).

Un utilisateur normal ne rencontrera pas ce genre de situation exceptionnelle.

Comment différencier les multiples variantes de Binance

Certains médias publient des « Binance Lite » ou « Binance Pro » avec des noms de packages différents, mais qui arborent tous la bannière Binance. Voici comment déterminer lesquels sont officiels :

Il suffit de ne reconnaître que le nom de package com.binance.dev.

Recommandations à long terme

Prenez l'habitude de vérifier la signature immédiatement après le téléchargement :

1. Téléchargez l'APK et vérifiez d'abord le hachage SHA-256.
2. Avant l'installation, utilisez un outil pour voir l'empreinte de signature.
3. Comparez-la avec l'empreinte de la version précédemment installée.
4. Installez uniquement si elles correspondent.

Cette procédure prend cinq à dix minutes et permet d'éviter presque toutes les attaques par contrefaçon au niveau de l'APK.

FAQ

Q : Les signatures peuvent-elles être falsifiées ? R : Théoriquement non, seul Binance possède la clé privée. Elle ne pourrait être falsifiée que si la clé privée de Binance était compromise, ce qui ne s'est jamais produit à ce jour.

Q : L'empreinte de signature est-elle identique au hachage de fichier SHA-256 ? R : Ce n'est pas la même chose. Le hachage de fichier s'applique à l'ensemble du fichier APK, tandis que l'empreinte de signature s'applique au certificat dans le bloc de signature.

Q : Dois-je installer un outil de vérification de signature sur mon téléphone lors d'une mise à jour ? R : Non, ce n'est pas nécessaire. Le système vérifie automatiquement et bloquera l'installation en cas d'incompatibilité.

Q : MIUI modifie-t-il et resigne-t-il les APK ? R : Non. La « Protection des applications » de MIUI peut scanner l'APK, mais elle ne le resigne pas. Si vous constatez que la signature a changé, elle a inévitablement été falsifiée par un intermédiaire.

Lectures complémentaires

• Méthode de vérification SHA-256
• Que faire en cas d'échec de l'installation par écrasement
• Sécurité des marchés d'applications tiers