有一位开发者有兴趣购买我的一个应用程序(唯一一个真正拥有用户的应用程序),这意味着我需要将原始源代码、 keystore 发送给他,并通过此链接请求 Google 进行传输:https://support.google.com/googleplay/android-developer/answer/6230247?hl=en
问题是:我的所有应用都使用来自同一 keystore 的同一证书。
所以我的问题是:新开发者是否有可能劫持我的任何其他应用程序?
我认为答案是“不。设备允许使用相同证书和相同包名称签名的另一个 apk 在设备上更新,但 Google Play 不允许开发人员上传另一个应用与我的任何其他应用程序相同的包名称”。
但我对此不确定,我想了解更多技术细节。
正如我所说,我拥有的其他应用程序并不重要,我也可以取消发布它们。但我宁愿不这样做,即使我这样做了,这个问题仍然有效。
ps.: 是的,现在我知道每个应用程序应该有 1 个证书。
最佳答案
您的应用程序包名称在 Play 商店中是唯一的。这是设备(和 Play 商店)识别您的应用程序的方式,因此必须是唯一的并且不能更改。 Android 不允许您的用户安装两个具有相同包名的应用程序。
但是,将您的 keystore 提供给其他开发人员仍然存在风险。 Play 商店在更新应用程序时采用两个门:
首先,您必须有权访问拥有该应用程序的帐户。
其次,您必须拥有使用正确 keystore 签名的 APK
通过授予某人访问您的 keystore 的权限,您可以删除两个安全检查之一。如果应用程序的新所有者可以访问您的开发者帐户,他们也可以重新发布其他应用程序。此新所有者还存在将 keystore 和应用程序出售给将来可能做同样事情的其他人的风险。
理论上,如果您的帐户是安全的,那么您的其他应用程序也不会被劫持。
这种风险是否可以接受取决于您。
关于Android App 转移给其他开发者,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/36959628/