Как работает система сертификации приложений на Android?

Система сертификации приложений на Android работает следующим образом: каждое приложение, которое запускается на платформе Android, должно быть подписано разработчиком. source.android.com Приложения, которые пытаются установить без подписи, отклоняются Google Play или установщиком пакетов на устройстве Android. source.android.com

Сертификат приложения определяет, какой идентификатор пользователя связан с каким приложением. source.android.com Подписание гарантирует, что одно приложение не сможет получить доступ к любому другому приложению, кроме как через определённые межпроцессные коммуникации. source.android.com

При установке приложения (APK-файла) на устройство Android, менеджер пакетов проверяет, что APK правильно подписан сертификатом, включённым в этот APK. source.android.com Если сертификат (точнее, открытый ключ в сертификате) совпадает с ключом, используемым для подписи любого другого APK на устройстве, новый APK имеет возможность указать в манифесте, что он разделяет UID с другими аналогично подписанными APK. source.android.com

Ещё одна функция сертификации — закрепление сертификата. nuancesprog.ru Оно предполагает, что в приложении жёстко кодируется общедоступный сертификат сервера и разрешаются подключения только с ним. nuancesprog.ru Это сокращает возможности для атак на приложение: даже если злоумышленник сможет обмануть центр сертификации и получит сертификат для используемого URL-адреса, он всё равно будет отклонён приложением, поскольку не входит в список доверенных. nuancesprog.ru