安卓用户下载币安 APK 最怕的就是装到钓鱼版本。解决办法其实非常简单:先做签名验证,再登录账号。从 币安官网 获取官方 APK,可以通过 币安官方APP 链接直达下载页。iPhone 用户不需要管 APK,直接按 iOS安装教程 装即可。本文用三种方法交叉验证一个 APK 是不是真的来自币安。
一、官方 APK 的三个固定特征
不管版本怎么更新,币安官方 APK 都满足以下三个特征:
- 包名(Package Name):
com.binance.dev - 签名者(Signer):
CN=Binance Holdings Ltd, O=Binance, ... - V2/V3 签名证书的 SHA-256 指纹:一个 64 位十六进制字符串,币安在帮助中心会公布当前有效的指纹
任何一个不符合都不是官方 APK。下面分别讲怎么用命令行、手机端 APP 和哈希对比验证这三项。
二、方法一:电脑用 apksigner 验证(最权威)
apksigner 是 Android SDK 自带的官方签名验证工具,适合有 Java 环境的用户。
安装步骤
- 下载 Android SDK Command-line Tools:https://developer.android.com/studio#command-tools
- 解压后把
cmdline-tools/latest/bin加入 PATH - 命令行运行
sdkmanager "build-tools;34.0.0"安装 build-tools - 最终
apksigner会出现在build-tools/34.0.0/目录下
验证命令
apksigner verify -v --print-certs Binance.apk
正常输出示例:
Verified using v1 scheme (JAR signing): true
Verified using v2 scheme (APK Signature Scheme v2): true
Verified using v3 scheme (APK Signature Scheme v3): true
Signer #1 certificate DN: CN=Binance Holdings Ltd, O=Binance, L=Malta, C=MT
Signer #1 certificate SHA-256 digest: a1b2c3...(一串十六进制)
三点必看:
Verified using v2 scheme: true和Verified using v3 scheme: true必须都是 truecertificate DN必须包含Binance Holdings Ltd- SHA-256 指纹必须与币安官方公告的值一致
有任何一项不符合,立刻删除 APK,不要安装。
三、方法二:手机端用签名查看器(最方便)
如果已经装了可疑 APK 又懒得上电脑,手机端也能查签名。推荐两个 APP:
- App Signature Checker(Google Play 开发者为 Infinite Loop 的版本)
- Apk Info(开源,F-Droid 上可装)
以 Apk Info 为例:
- 打开 APP,给予"读取已安装应用"权限
- 搜索 Binance,点击进入详情
- 滑到底部查看"Signatures"部分
- 证书的 Subject 字段应显示
Binance Holdings Ltd - 证书的 SHA256 Fingerprint 应与官方公告值一致
手机端验证的优点是快(30 秒搞定),缺点是受限于 APP 本身的可信度——这些查签工具一定要从 Google Play 或 F-Droid 下载,不要从来路不明的渠道装。
四、方法三:SHA-256 哈希对比(最简单)
这是验证"文件是否被篡改"的最基础方法,即使没有 Android 知识也能做。
获取 APK 的 SHA-256
PowerShell(Windows):
Get-FileHash Binance.apk -Algorithm SHA256
终端(macOS/Linux):
shasum -a 256 Binance.apk
输出是一个 64 位十六进制字符串。
获取官方公布的哈希
登录 binance.com → 帮助中心 → 搜索 "APK hash" 或 "APK 校验"。官方公告页面会列出当前版本 APK 的 SHA-256 值。如果你的哈希与官方值一致,说明文件没有被篡改,是官方发布的原始 APK。
注意:哈希对比只能证明"文件没被改过",不能证明"这是官方文件"——因为哈希是随版本变化的。理想做法是哈希对比 + 签名验证双保险。
五、遇到验签失败的几种情况
情况一:签名者不是 Binance Holdings Ltd
这是最严重的情况——APK 被别人重新签名了。即使原始逻辑是币安的,攻击者可能在重打包过程中插入恶意代码(比如劫持剪贴板粘贴的地址、转发 2FA 验证码)。立刻删除,换源下载。
情况二:v1 签名通过但 v2/v3 不通过
这种情况下 APK 可能被做了 Janus 漏洞攻击(CVE-2017-13156),在保留 v1 签名的同时插入额外的 DEX 文件。也是钓鱼手段之一,同样要立刻删除。
情况三:SHA-256 不一致但签名有效
最可能的解释是:你下载的是旧版本,官方 hash 已经更新。回到币安官网下载最新版 APK,重新对比即可。如果最新版的哈希仍然不一致,可能是你的下载过程被中间人篡改,换网络或换浏览器重下。
情况四:手机提示"应用未经认证"
Android 10+ 的 Play Protect 会对所有新装 APK 做云端扫描。如果是从官网下载的全新版本,偶尔会因为 Play Protect 数据库还没更新而误报。这时候可以:
- 等 24-48 小时后 Play Protect 更新自动解除
- 或者在 Play Protect 里把该 APP 标为例外
- 注意:不要因为误报就忽略 Play Protect——如果你同时发现签名也有问题,就是真钓鱼
六、APK 验证完之后的"首次启动检查"
签名通过不等于万事大吉,还要看 APP 首次启动时的行为:
- 权限申请:官方 APP 不会在启动页索要短信、通讯录、相册权限。任何启动就要这些权限的版本是钓鱼
- 开屏广告:官方 APP 无任何第三方广告。有广告的是仿冒版
- 登录界面:登录时 URL 应当指向
accounts.binance.com,不是任何其他域名 - 网络请求:用 HTTP Canary 等抓包工具看首次启动的域名,应全部为
*.binance.com或*.binancezh.co等官方域
这四项都通过,才能确认 APP 真正可用。
七、安卓用户的下载渠道优先级
从安全性排序,推荐的下载渠道如下:
- 官网直接下载(binance.com/download) → 最推荐
- 币安社交账号(Twitter 官方)推送的下载链接 → 仅作为备用
- Google Play 商店(若你在国家 / 地区支持) → 可靠但在中国大陆不可用
- F-Droid、APKMirror 等第三方 APK 仓库 → 不推荐,虽然这些站点有校验但不是官方分发
任何在 QQ 群、微信群、Telegram 群里分发的 APK 都要视为钓鱼,不管发送者多么自信地说"这是官方版本"。
常见问题
Q:APK 安装完之后还能再验证一次吗?
A:可以。用 pm path com.binance.dev 找到已安装 APK 的路径,再对这个 APK 运行 apksigner 就能看到实际装进手机的签名。这是防止"装上之后被替换"的最后一道防线。
Q:已经装过一段时间的 APP 还需要重新验证吗? A:建议每次大版本升级后做一次。因为官方升级时 APK 文件会下载到临时目录,期间存在被 hook 的风险(虽然极小)。
Q:Android 小米 / 华为 定制系统会影响签名验证吗? A:不会。签名验证是 APK 文件本身的属性,和系统无关。系统侧的"应用商店白名单"是另一层验证,两者互不影响。
Q:没有电脑也没装签名查看器,还能做什么? A:至少做 SHA-256 哈希对比。很多文件管理器(比如 Solid Explorer)内置了哈希计算功能,和官方公告对比一下是最低成本的验证。