有许多"开源" Android应用程序商店中的K-9邮件等应用程序。如果我自己编译和构建源代码,我可以确定生成的apk确实会执行源代码所说的内容。
但是我如何验证提交给商店的apk实际上是编译同一个源的结果?什么是阻止k9的制造商在提交给应用商店的版本中插入恶意代码?我没有看到任何哈希,或其他验证来源的方式。
(K-9只是一个例子)。
答案 0 :(得分:1)
比较APK的内容:您从设备上获取的内容(您从Play商店或任何地方获得的内容)以及您自己编译的内容。如果编译的类别不同,则可能需要进行更深入的调查。可能的差异来自编译器,字节码转换器或混淆器设置的差异。或者,差异可能表示恶意代码"。这项工作取决于你。
或者,使用像源代码本身编译的F-Droid商店。
或者,只使用您自己编译的版本。