tl; dr: 我想知道无论如何我都要确保在GitHub上查看源代码(重新)源项目实际上用于构建我从Google Play下载的APK?
假设我想在我的本地Android设备上找到用于加密文件的应用。谷歌搜索时有几个应用程序,许多开源。由于我要加密敏感信息,我想确保它正确完成(并且没有不良意图),所以我查看了应用程序的源代码。所有看起来都没问题,所以我从Google Play下载应用程序并开始使用它。
如果应用程序的开发人员想要,他们可以离线修改源代码(在“私有构建步骤”,也就是说),并注入他们想要的任何东西(在某处发送未加密的文件内容,假加密文件,无论如何),构建APK并将APK上传到Google Play。
无论如何要验证APK实际来自源代码吗?