Secondo questo post sul blog , Google ha aggiunto un metadati di sicurezza su un APK per verificare che sia stato originariamente distribuito da Google Play. Più specificamente aggiunge APK Signing Block al file APK.
Ho alcune domande su questo:
(1) In che modo Google ha inserito questi metadati nel blocco di firma APK dell'APK e in che modo vengono verificati i metadati sul telefono (tecnicamente)?
Suppongo che sia possibile creare contenuti personalizzati in questo blocco di firma? Diciamo che voglio distribuire alcuni APK privatamente nella mia azienda, quando l'utente installa quell'APK, quindi posso capire se l'APK appartiene o meno alla nostra azienda, proprio come Google ha fatto con le loro app in Play Store.
(2) Se tutti gli sviluppatori utilizzano App Firma da Google Play , allora i metadati di sicurezza citati sopra diventano inutili? Perché Google può semplicemente verificare il certificato all'interno di ciascun APK.
Le mie scuse per la comprensione superficiale. Qualsiasi commento è molto apprezzato!