根据this Blog post,Google已在APK顶部添加了安全元数据,以验证其最初是由Google Play分发的。更具体地说,它将APK Signing Block添加到APK文件。
我对此有一些疑问:
(1)Google如何将元数据插入APK的APK签名块中,以及如何(在技术上)验证电话中的元数据?
我猜是否可以在此签名块中创建自定义内容?假设我想在公司中私下分发一些APK,当用户安装该APK时,我就可以确定该APK是否属于我们公司,就像Google在Play商店中对其应用所做的一样。
(2)如果所有开发人员都使用App Signing by Google Play,那么上面提到的安全元数据是否不必要?因为Google只需简单地验证每个APK内的证书(即META-INF / * RSA和* DSA文件)即可。
很抱歉我的理解很浅。任何评论都非常感谢!