Ho letto questa pagina degli sviluppatori Android relativa alla firma del codice che afferma:
You can use self-signed certificates to sign your applications. No certificate authority is needed.
Ho anche letto le risposte a " Come si può rilevare se Apple / Google / etc ha modificato un'applicazione di terzi distribuita tramite i loro App Store? "
La mia domanda è: se Google è costretto a manomettere una particolare app Android sul Play Store (ad esempio TextSecure) per comprometterlo, è possibile qualsiasi difesa contro la manomissione mirata a particolari individui?
Scenario di esempio: le persone di interesse utilizzano TextSecure sui loro telefoni Android per comunicare. Un governo costringe Google a spingere le versioni modificate di TextSecure in questi telefoni per compromettere le comunicazioni.
Posso pensare a una soluzione rotonda: utilizzando un fork del sistema operativo Android che non è aggiornato da Google, installa un'app non Play Store che controlla costantemente la validità dell'installazione esistente di TextSecure (magari usando qualcosa di semplice come valori hash).
Ci sono altre possibilità? (Ad esempio, se un'app è firmata con un certificato CA convalidato, verrebbe controllata in fase di esecuzione?)