Può essere modificata un'applicazione mobile firmata?

In teoria, sì, è possibile creare un'applicazione arbitraria e applicarla in modo tale che l'hash corrisponda, ma in realtà ciò è estremamente difficile da impossibile a meno che l'hash utilizzato non abbia noti punti deboli.

Un buon hash funziona perché ha un gran numero di output possibili ed è difficile prevedere l'output dall'input. Finché l'hash riesce a soddisfare questi due criteri, un utente malintenzionato dovrebbe forzare una fenditura forzata apportando modifiche al proprio programma fino a quando non è possibile ottenere una collisione dell'hash. Dal momento che lo spazio di collisione è così grande sui moderni hash sicuri, richiederebbe tempi imprecisamente lunghi (secoli o più) per generare una collisione hash anche mentre si impiegano i livelli governativi di elaborazione per generare una collisione.

Le probabilità per l'attaccante di migliorare un po 'se stanno cercando di produrre una "buona versione" e una "cattiva versione" che corrispondono intenzionalmente poichè possono "incontrarsi nel mezzo" facendo un mucchio di diverse buone build e un un sacco di diversi cattivi e solo bisogno di due di loro per abbinare, ma è ancora altamente impraticabile a causa della quantità di calcolo necessario per gestire anche con hash crittografia moderna sicura.

Potrebbero esserci diversi modi per modificare il codice senza cambiando la firma:

• Sfruttare una vulnerabilità di implementazione - Vulnerabilità della chiave master di Android è un esempio di esattamente uno di questi problemi, che ha consentito agli utenti malintenzionati di aggiungere codice eseguibile a un APK firmato senza modificare la firma.
• Esposizione di una collisione hash - Le firme basate su funzioni hash dipendono dalla sicurezza dell'hash. SHA-1, ad esempio, era recentemente rotto da Google; in quel caso, sono stati prodotti due file pdf con lo stesso hash. Estendendo tale attacco, potrebbe essere possibile produrre un'applicazione diversa con la stessa firma di quella corretta.