hum*_*ace 3 android sign key google-play
您必须先使用发布密钥对它进行签名,然后才能在Google Play上发布它。据说是为了安全。生成密钥时,必须输入密码。
这里有什么大惊小怪的?让我问一下,如果我的释放密钥被盗/复制了,会发生什么。假设某人甚至可以设法使用该密钥对他/她自己的应用进行签名。那意味着什么不好?
我会争辩,几乎没有,是正确的吗?(考虑到我的开发者帐户/控制台凭据也没有被盗)
,如果用被盗的发行密钥签名的其他应用能够更直接地访问我的应用(在用户设备上)的数据,也许最大的/唯一的风险将会上升。
他们可以抓取您的APK(在所有Android设备上公开可读),对其进行修改(例如添加恶意软件),对其进行签名并进行分发。假设他们碰到了versionCode,那么任何尝试安装被黑客入侵的应用程序版本的人都会成功,从Android的角度来看,这是有效的升级。如果黑客可以获取您的发行渠道凭据(例如,破坏您在Play商店中的Google帐户),则他们可以将其更新发布给所有用户。
或者,他们可以创建自己的独立APK,并使用您的签名密钥对其进行签名。现在,您的应用程序及其应用程序已通过相同的密钥签名。这开辟了其他攻击途径:
如果您使用android:sharedUserId,它们可以在内部存储中获取您应用中的所有文件,这些文件通常受到其他应用(受root用户保护的设备)的保护
如果您将权限与一起使用signature protectionLevel,则他们的应用程序可以拥有相同的权限,并且可能以您只希望使用自己的应用程序套件的方式与您的应用程序进行交互