问题描述
在Android Studio中生成App Bundle时,我可以创建密钥库,用密钥填充它们,用我想要的东西填充字段等
什么时候发生保护?这些操纵会保护谁和谁不受保护?
解决方法
以下是使用上传密钥签名的保证:
-
您可以保证在签名后和将其上传到Play控制台之间,您的应用没有做任何更改。这样可以防止诸如中间人之类的攻击。
-
Play将不允许使用其他密钥签名的应用包在Play商店上上传带有该包名称的包(即使您的开发者帐户遭到入侵-他们仍然需要访问上传密钥)。
一旦Google确认使用正确的上传密钥对App Bundle进行了有效签名,它将生成供用户使用的APK,并使用所谓的“应用签名密钥”对其进行签名。这提供了额外的保证:
-
您的应用程序用户设备仅接受使用相同应用程序签名密钥签名的更新。这样可以防止用户被诱骗安装来自其他来源的更新的攻击。由于APK不会使用应用程序的签名密钥进行签名,因此安装将被拒绝。
-
如果由于APK是Google生成的,因此它已被篡改,则用户也将受到保护,因为签名将无效,因此安装被拒绝。