开发人员有兴趣购买我的某个应用程序(唯一一个实际拥有用户的应用程序),这意味着我需要向他发送原始源代码,密钥库并请求Google在此链接后进行转移: https://support.google.com/googleplay/android-developer/answer/6230247?hl=en
问题是:我的所有应用都使用同一个密钥库中的相同证书。
所以我的问题是:新开发者是否有可能劫持我的其他任何应用?
我相信答案是"不。设备允许另一个使用相同证书和相同包名签名的apk在设备上更新,但Google Play不允许开发人员使用与我的任何其他应用程序相同的程序包名称上传另一个应用程序&# 34。
但我对此并不确定,我想了解更多技术细节。
正如我所说,我拥有的其他应用程序并不重要,我也可以取消发布它们。但我不愿意,即使我这样做,问题仍然有效。
ps。:是的,现在我已经知道每个应用程序应该有1个证书。
答案 0 :(得分:6)
您的应用程序的软件包名称在Play商店中是唯一的。它是设备(和Play商店)识别您的应用程序的方式,因此必须是唯一的,不能更改。 Android不允许您的用户使用相同的包名安装两个应用程序。
但是,将密钥库提供给其他开发人员仍然存在风险。 Play商店在更新应用程序时使用了两个门:
首先,您必须有权访问拥有该应用程序的帐户。
其次,您必须使用正确的密钥库
通过授予某人访问您的密钥库的权限,您可以删除其中一个安全检查。如果应用程序的新所有者可以访问您的开发者帐户,他们也可以重新发布其他应用程序。此新主人还有可能将密钥库和应用程序出售给将来可能做同样事情的其他人。
理论上,如果您的帐户是安全的,那么您的其他应用程序也可以免遭劫持。
这种风险是否可以接受取决于你。
答案 1 :(得分:1)
他们可以签署APK并鼓励现有用户侧载它。当侧载时,应用程序无法知道它是来自你还是他们。但Play商店本身并不允许他们上传您尚未转移给他们的应用。
通常情况下,当买家购买和使用其他应用使用的密钥的应用程序的部分协议将包含买家必须保护密钥的小片段。无论如何,这个协议都是双边的,因为理论上你可以通过旁加一个签名的APK来劫持他们的用户。
答案 2 :(得分:0)
新开发者是否有可能劫持我的其他任何人 应用
除非你给他keystore,否则世界上任何其他应用都无法做任何事情。
您的keystore是所有应用程序的关键,您绝不应与任何人分享。在我的开发者帐户中使用keystore签名的应用永远不会让我对您自己的应用做任何事情。
任何人都可以在Play商店中使用不同的密钥库发布应用程序。