我正在通过第三方Android市场下载我的Android应用程序的更新而不是谷歌游戏,因为谷歌禁止我所在地区的一些应用程序。
我想知道这个第三方市场是否可以为手机中的现有应用创建虚假更新并将其恶意代码注入该应用并通过他们的市场将其作为新更新发送到我的Android手机,然后我更新了我的应用他们可以在被操纵的应用程序中运行自己的代码。
答案 0 :(得分:1)
Android操作系统会检查是否使用与原始应用相同的密钥对所有应用更新进行了签名。如果第三方市场为您签署应用程序,那么他们可以创建虚假更新。如果交付的应用程序是使用您的开发人员密钥签名的,那么市场无法提供更新,因为他们需要访问您的开发人员密钥。
话虽如此,如果应用程序市场卸载然后重新安装应用程序(而不仅仅是更新它),那么他们可以有效地更改密钥,但卸载也会删除其他东西(如本地文件系统数据,用户首选项,等)。