分销商要求我的应用程序的apk的未签名版本。如果我把它给他,我会承担一些安全风险吗?我不太确定签名的目的。
答案 0 :(得分:4)
数字签名用于验证应用的安装。
Android的应用系统的构建方式是,一旦安装了应用,安装的任何更新必须附加相同的数字签名。如果更新已由其他密钥签名,则Android将不允许其安装。这样做是为了防止您的应用被替换为冒充您自己的恶意应用。由于恶意应用程序不会共享相同的签名,因此无法替换您的应用程序。
此外,Google Play等应用商店如果未使用相同的密钥签名,则不允许您将apk作为更新上传到应用。
分发未签名的apk本身不应对您构成威胁,但如果有人可以抓住您的签名密钥,则可能会造成很大的破坏。我没有看到给分销商apk的问题,但请确保您的签名密钥与您保持一致,特别是如果您使用多个应用程序。