当有人窃取我的android应用程序发布密钥时,会发生什么坏事?
在谷歌Play上发布Android应用程序之前,需要使用发布密钥进行签名。据说是为了安全。生成密钥时,必须输入密码 这里有什么大惊小怪的? 让我问一下,如果我的释放密钥被盗/被复制,会发生什么情况。假设有人甚至可以用这把钥匙为他/她自己的应用程序签名。那意味着什么 我会争辩,几乎没有,对吗?(考虑到我的开发人员帐户/控制台凭据也没有被盗)当有人窃取我的android应用程序发布密钥时,会发生什么坏事?,android,google-play,key,sign,Android,Google Play,Key,Sign,在谷歌Play上发布Android应用程序之前,需要使用发布密钥进行签名。据说是为了安全。生成密钥时,必须输入密码 这里有什么大惊小怪的? 让我问一下,如果我的释放密钥被盗/被复制,会发生什么情况。假设有人甚至可以用这把钥匙为他/她自己的应用程序签名。那意味着什么 我会争辩,几乎没有,对吗?(考虑到我的开发人员帐户/控制台凭据也没有被盗) 如果有人用偷来的发布密钥签名的其他应用程序能够更直接地访问我的应用程序(在用户设备上)的数据,那么可能会出现最大/唯一的风险。他们可以抓取你的APK(在所有安
如果有人用偷来的发布密钥签名的其他应用程序能够更直接地访问我的应用程序(在用户设备上)的数据,那么可能会出现最大/唯一的风险。他们可以抓取你的APK(在所有安卓设备上公开可读)、修改它(例如,添加恶意软件)、签名并分发它。假设他们撞上了
版本代码
,任何试图安装你的应用程序的黑客版本的人都会成功,从Android的角度来看,这是一个有效的升级。如果黑客可以获取您的分销渠道凭据(例如,泄露您在Play Store的Google帐户),他们可以将其更新发送给您的所有用户
或者,他们可以创建自己的单独APK,并使用您的签名密钥进行签名。现在,您的应用程序和他们的应用程序使用相同的密钥签名。这开辟了其他攻击途径:
- 如果您使用的是
,他们可以在内部存储中获取您应用程序的所有文件,这些文件通常不受其他应用程序的保护(根设备之外)android:sharedUserId
- 如果您使用带有
签名的权限
,则他们的应用程序可以持有相同的权限,并可能以您只希望自己的应用程序套件使用的方式与您的应用程序交互protectionLevel