我正在开发Android应用并测试应用内购买我必须在Google Play Developer控制台中设置其页面。这需要我上传一个.apk,所以我上传了一个创建了IntelliJ IDEA的空白项目。 IntelliJ可以选择使用其默认证书(其密码是公共的)进行签名,我使用此选项认为它无关紧要,因为我稍后会上传使用自己的证书签名的应用程序。
但据我所知,谷歌不允许我在应用发布后更改.apk的签名证书(我发布到封闭的alpha测试)。我唯一的选择是在Google Play控制台中创建一个新应用,但是需要有不同的应用ID,我真的不想这样做。
如果我发布我的应用程序并且每个人都可以找到我用来签署我的应用程序的证书的密码(他们也可以下载证书),它会涉及什么样的风险?有没有?
答案 0 :(得分:4)
发布使用已知密钥签名的APK,我能想到的唯一风险是:
如果有人拥有您Google帐户的密码,他们就可以登录并向您的应用发布更新,因为他们也可以使用您最初使用的相同方式对APK进行签名。
如果您的应用安装在设备上,有人可能会对其进行更新,Android会允许应用ID和签名匹配。这个侧载应用程序可以访问之前安装应用程序时创建的所有用户数据。
如果是我决定是否使用此密钥发布,我只会创建一个新的应用ID。消费者真的不关心那个字符串,甚至可能永远都不会看到它。