我在Google Play中有一款应用。有人要我用MY keystore签署他的空APK文件,然后把他送回去。他的签名apk怎么办?这样安全吗?
答案 0 :(得分:0)
如果是他的 APK,您可以不安全地保证它是空的或非恶意的,即使它看起来像一样空。
a)他们是否要分发用您的密钥签名的病毒?
根据已知和未知的漏洞审核APK并不容易,不仅在已编译的代码中,而且在每个数据结构中。
我一直在阅读有一个"主密钥的变体"利用它可以修改一个小的签名APK,在其中注入任意代码。如果发生这种情况并不是你的错,他们只需要一个小的有效APK(但你可能不会在正常条件下释放它)。
作为一个拇指的规则,不要签署你不能控制到最新位置的东西。
b)他们可以利用你或窃取你的钥匙吗?
这很难想象。我假设没有。除非他们对你的PC拥有丑陋的利用。
同样,对代码进行逆向工程还不足以保护您,因为可能存在隐藏在数据结构中任何位置的未知漏洞。