android - 怀有恶意的人可以用我的 Google 应用签名上传 key 做什么?

标签 android google-play code-signing android-app-bundle

我正在使用 Google Play 商店应用签名并使用上传 key 对我的应用程序包进行签名。我是否正确地假设,当有人拿到我的上传 key 时,他们实际上无法用它做任何事情,因为该 key 不用于与游戏商店进行身份验证?

最佳答案

实际上,如果上传 key 遭到泄露,第三方可以使用与您的 APK 相同的 key 对其 APK 进行签名。

我可以想到一种可能导致实际伤害的场景。如果您有多个应用程序,并且它们使用其他应用程序不应使用的基于 Intent 的私有(private)协议(protocol)交换数据,并且您使用受签名保护的 Android 权限来确保那么,攻击者将能够绕过该保护。

例如,如果您的应用发布了一段专有内容供其他应用使用,而第三方应用不应该看到这些内容(可能是因为他们尚未付费),则攻击者可能会访问该内容。

关于android - 怀有恶意的人可以用我的 Google 应用签名上传 key 做什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/57660036/

上一篇:android - 无法获取 'https://jitpack.io/com/google/android/gms/play-services-basement/maven-metadata.xml'。从服务器 : Forbidden 收到状态代码 403

下一篇:android - 房间错误 : Type of the parameter must be a class annotated with @Entity or a collection/array of it

相关文章:

ios - 属于两个团队的 Apple id 帐户获得 "Your account already has a valid iOS Distribution certificate"

ios - xcodebuild 如何使用命令行签署应用程序?

android - 如何使状态栏透明?

安卓 Logcat 消息 "Could not find Class"

android - 为什么ByteArrayOutputStream有时会给我空指针异常?

java - 在 ArrayList 线程安全上移动对象的最佳方法是什么?

java - 发布应用程序 - 在 Android Market 中受设备限制

macos - 在 Mac OS X 10.8 上使用 codesign 时出现错误 "The timestamp service is not available."

java - Firebase 中的 dataSnapshot.getValue(MyClass.class) 在开发中工作正常,但在 Play 商店上发布后获取空值

java - 奇怪的用户崩溃报告: Null Pointer exception for something that is definitely there

©2024 IT工具网  联系我们