安卓使用者下載幣安 APK 最怕的就是裝到釣魚版本。解決辦法其實非常簡單:先做簽名驗證,再登入賬號。從 幣安官網 獲取官方 APK,可以透過 幣安官方APP 連結直達下載頁。iPhone 使用者不需要管 APK,直接按 iOS安裝教程 裝即可。本文用三種方法交叉驗證一個 APK 是不是真的來自幣安。
一、官方 APK 的三個固定特徵
不管版本怎麼更新,幣安官方 APK 都滿足以下三個特徵:
- 包名(Package Name):
com.binance.dev - 簽名者(Signer):
CN=Binance Holdings Ltd, O=Binance, ... - V2/V3 簽名證書的 SHA-256 指紋:一個 64 位十六進位制字串,幣安在幫助中心會公佈當前有效的指紋
任何一個不符合都不是官方 APK。下面分別講怎麼用命令列、手機端 APP 和雜湊對比驗證這三項。
二、方法一:電腦用 apksigner 驗證(最權威)
apksigner 是 Android SDK 自帶的官方簽名驗證工具,適合有 Java 環境的使用者。
安裝步驟
- 下載 Android SDK Command-line Tools:https://developer.android.com/studio#command-tools
- 解壓後把
cmdline-tools/latest/bin加入 PATH - 命令列執行
sdkmanager "build-tools;34.0.0"安裝 build-tools - 最終
apksigner會出現在build-tools/34.0.0/目錄下
驗證命令
apksigner verify -v --print-certs Binance.apk
正常輸出示例:
Verified using v1 scheme (JAR signing): true
Verified using v2 scheme (APK Signature Scheme v2): true
Verified using v3 scheme (APK Signature Scheme v3): true
Signer #1 certificate DN: CN=Binance Holdings Ltd, O=Binance, L=Malta, C=MT
Signer #1 certificate SHA-256 digest: a1b2c3...(一串十六進位制)
三點必看:
Verified using v2 scheme: true和Verified using v3 scheme: true必須都是 truecertificate DN必須包含Binance Holdings Ltd- SHA-256 指紋必須與幣安官方公告的值一致
有任何一項不符合,立刻刪除 APK,不要安裝。
三、方法二:手機端用簽名檢視器(最方便)
如果已經裝了可疑 APK 又懶得上電腦,手機端也能查簽名。推薦兩個 APP:
- App Signature Checker(Google Play 開發者為 Infinite Loop 的版本)
- Apk Info(開源,F-Droid 上可裝)
以 Apk Info 為例:
- 開啟 APP,給予"讀取已安裝應用"許可權
- 搜尋 Binance,點選進入詳情
- 滑到底部檢視"Signatures"部分
- 證書的 Subject 欄位應顯示
Binance Holdings Ltd - 證書的 SHA256 Fingerprint 應與官方公告值一致
手機端驗證的優點是快(30 秒搞定),缺點是受限於 APP 本身的可信度——這些查籤工具一定要從 Google Play 或 F-Droid 下載,不要從來路不明的渠道裝。
四、方法三:SHA-256 雜湊對比(最簡單)
這是驗證"檔案是否被篡改"的最基礎方法,即使沒有 Android 知識也能做。
獲取 APK 的 SHA-256
PowerShell(Windows):
Get-FileHash Binance.apk -Algorithm SHA256
終端(macOS/Linux):
shasum -a 256 Binance.apk
輸出是一個 64 位十六進位制字串。
獲取官方公佈的雜湊
登入 binance.com → 幫助中心 → 搜尋 "APK hash" 或 "APK 校驗"。官方公告頁面會列出當前版本 APK 的 SHA-256 值。如果你的雜湊與官方值一致,說明檔案沒有被篡改,是官方釋出的原始 APK。
注意:雜湊對比只能證明"檔案沒被改過",不能證明"這是官方檔案"——因為雜湊是隨版本變化的。理想做法是雜湊對比 + 簽名驗證雙保險。
五、遇到驗籤失敗的幾種情況
情況一:簽名者不是 Binance Holdings Ltd
這是最嚴重的情況——APK 被別人重新簽名了。即使原始邏輯是幣安的,攻擊者可能在重打包過程中插入惡意程式碼(比如劫持剪貼簿貼上的地址、轉發 2FA 驗證碼)。立刻刪除,換源下載。
情況二:v1 簽名透過但 v2/v3 不透過
這種情況下 APK 可能被做了 Janus 漏洞攻擊(CVE-2017-13156),在保留 v1 簽名的同時插入額外的 DEX 檔案。也是釣魚手段之一,同樣要立刻刪除。
情況三:SHA-256 不一致但簽名有效
最可能的解釋是:你下載的是舊版本,官方 hash 已經更新。回到幣安官網下載最新版 APK,重新對比即可。如果最新版的雜湊仍然不一致,可能是你的下載過程被中間人篡改,換網路或換瀏覽器重下。
情況四:手機提示"應用未經認證"
Android 10+ 的 Play Protect 會對所有新裝 APK 做雲端掃描。如果是從官網下載的全新版本,偶爾會因為 Play Protect 資料庫還沒更新而誤報。這時候可以:
- 等 24-48 小時後 Play Protect 更新自動解除
- 或者在 Play Protect 裡把該 APP 標為例外
- 注意:不要因為誤報就忽略 Play Protect——如果你同時發現簽名也有問題,就是真釣魚
六、APK 驗證完之後的"首次啟動檢查"
簽名透過不等於萬事大吉,還要看 APP 首次啟動時的行為:
- 許可權申請:官方 APP 不會在啟動頁索要簡訊、通訊錄、相簿許可權。任何啟動就要這些許可權的版本是釣魚
- 開屏廣告:官方 APP 無任何第三方廣告。有廣告的是仿冒版
- 登入介面:登入時 URL 應當指向
accounts.binance.com,不是任何其他域名 - 網路請求:用 HTTP Canary 等抓包工具看首次啟動的域名,應全部為
*.binance.com或*.binancezh.co等官方域
這四項都透過,才能確認 APP 真正可用。
七、安卓使用者的下載渠道優先順序
從安全性排序,推薦的下載渠道如下:
- 官網直接下載(binance.com/download) → 最推薦
- 幣安社交賬號(Twitter 官方)推送的下載連結 → 僅作為備用
- Google Play 商店(若你在國家 / 地區支援) → 可靠但在中國大陸不可用
- F-Droid、APKMirror 等第三方 APK 倉庫 → 不推薦,雖然這些站點有校驗但不是官方分發
任何在 QQ 群、微信群、Telegram 群裡分發的 APK 都要視為釣魚,不管傳送者多麼自信地說"這是官方版本"。
常見問題
Q:APK 安裝完之後還能再驗證一次嗎?
A:可以。用 pm path com.binance.dev 找到已安裝 APK 的路徑,再對這個 APK 執行 apksigner 就能看到實際裝進手機的簽名。這是防止"裝上之後被替換"的最後一道防線。
Q:已經裝過一段時間的 APP 還需要重新驗證嗎? A:建議每次大版本升級後做一次。因為官方升級時 APK 檔案會下載到臨時目錄,期間存在被 hook 的風險(雖然極小)。
Q:Android 小米 / 華為 定製系統會影響簽名驗證嗎? A:不會。簽名驗證是 APK 檔案本身的屬性,和系統無關。系統側的"應用商店白名單"是另一層驗證,兩者互不影響。
Q:沒有電腦也沒裝簽名檢視器,還能做什麼? A:至少做 SHA-256 雜湊對比。很多檔案管理器(比如 Solid Explorer)內建了雜湊計算功能,和官方公告對比一下是最低成本的驗證。