過程如下:
反編譯apk ----> 更改資源文件、smali代碼等 ----> 重打包 ----> 簽名--->發布
關鍵在於簽名這壹步。每位開發商都有壹個屬於自己的數字證書,可以理解為是壹枚無法偽造的印章,對apk進行簽名相當於對其蓋章,表明這個apk是由該數字證書的擁有者發布的。
而修改者只能用自己的證書對其進行簽名,因此修改後的apk與原apk相比,簽名信息不同。
Android系統在安裝apk的時候,會校驗簽名信息。如果手機裏已經安裝了該程序(通過app包名來識別),而準備安裝的apk的簽名跟已經安裝過的不壹致,則會彈出警告“簽名不壹致”並導致安裝失敗。此時只有用戶手動卸載已安裝版本,才可以安裝新apk。
2. 可能行很小
根據上述分析,除非修改者搞到了開發商簽名,或者想辦法繞過Android系統的簽名校驗機制,才可能將修改後的軟件通過正常的更新替換掉已安裝版本。
二者的可能性都是很低的。
3. 簽名不壹致為什麽還會提示我更新?
客戶同時裝有X和Y兩個應用市場,這裏是指開發商A發布應用,發布到商店X,然後黑客B篡改A的安裝包,冒A的名發布到商店Y,然後用戶從X安裝了應用之後被Y市場提示更新了。
因為第三方市場是通過包名和版本號來判斷是否提示更新的。只要同壹包名,市場上的apk版本號大於已安裝版本號,就會提示更新。當然,簽名不壹致還是安裝不上滴。