我正在使用 Google Play 商店应用签名并使用上传 key 对我的应用程序包进行签名。我是否正确地假设,当有人拿到我的上传 key 时,他们实际上无法用它做任何事情,因为该 key 不用于与游戏商店进行身份验证?
最佳答案
实际上,如果上传 key 遭到泄露,第三方可以使用与您的 APK 相同的 key 对其 APK 进行签名。
我可以想到一种可能导致实际伤害的场景。如果您有多个应用程序,并且它们使用其他应用程序不应使用的基于 Intent 的私有(private)协议(protocol)交换数据,并且您使用受签名保护的 Android 权限来确保那么,攻击者将能够绕过该保护。
例如,如果您的应用发布了一段专有内容供其他应用使用,而第三方应用不应该看到这些内容(可能是因为他们尚未付费),则攻击者可能会访问该内容。
关于android - 怀有恶意的人可以用我的 Google 应用签名上传 key 做什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/57660036/