-2

我正在开发一个 Android 应用程序并在应用程序购买中进行测试,我必须在 Google Play 开发者控制台中设置它的页面。这需要我上传一个 .apk,所以我上传了一个创建 IntelliJ IDEA 的空白项目。IntelliJ 可以选择使用其默认证书(其密码是公开的)进行签名,我使用此选项认为这无关紧要,因为我稍后会上传使用我自己的证书签名的应用程序。

但据我所知,Google 不允许我在应用发布后更改 .apk 的签名证书(我发布到封闭 alpha 测试)。我唯一的选择是在 Google Play 控制台中创建一个新应用程序,但这需要有一个不同的应用程序 ID,我真的不想要这个。

如果我发布我的应用程序并且每个人都可以找到我用于签署我的应用程序的证书的密码(并且他们也可以下载证书),这会涉及什么样的风险?有吗?

4

1 回答 1

4

我能想到的发布使用已知密钥签名的 APK 的唯一风险是:

  1. 如果有人知道您的 Google 帐户的密码,他们可以登录并发布您的应用程序更新,因为他们还可以使用您最初使用的相同 APK 进行签名。

  2. 如果您的应用安装在设备上,有人可以旁加载更新,Android 将允许其应用 ID 和签名都匹配。然后,这个旁加载的应用程序将有权访问在之前安装应用程序时创建的所有用户数据。

如果是我决定是否使用此密钥发布,我只会创建一个新的应用程序 ID。消费者真的不关心那个字符串,甚至可能永远不会看到它。

于 2016-02-22T02:33:03.360 回答