La firma delle applicazioni elimina la dipendenza da Google per qualcosa di diverso dal fornire il sistema operativo. Un utente può installare un apk e verificarne la firma, indipendentemente dal fatto che l'apk sia scaricato da Google o ad es. copiato su una scheda SD.
Una volta scaricato un apk, non esiste un modo diretto per tracciare la sua origine. È impossibile sapere dopo quale URL è stato scaricato il file. Una firma in apk attesta l'autenticità del file fino a quando la chiave pubblica può essere tracciata allo sviluppatore originale.
La firma dell'apk garantisce che un'applicazione falsa non può essere installata inosservata, in linea di principio. In pratica, questa garanzia è discutibile poiché l'identità del firmatario non è fornita all'utente in alcun modo legato alla proprietà della chiave privata corrispondente. Tuttavia, uno sviluppatore può verificare l'autenticità di un'app scaricata confrontando l'apk con la versione caricata, o semplicemente verificando che l'apk sia firmato correttamente con la sua chiave pubblica.
Per quanto riguarda il motivo per cui tutti gli apk devono essere firmati, è una questione di semplicità di implementazione: non è necessario distinguere tra app firmate e non firmate. Google fornisce una chiave di debug, per la quale la parte privata è inclusa nell'SDK e chiunque può creare la propria coppia di chiavi; a scopo di sicurezza, un apk firmato dalla chiave di debug o da una chiave sconosciuta non è più sicuro di quanto sarebbe se non fosse firmato.