Google通过应用签名服务签署的APK文件，为什么不能修改它？

谷歌不仅有能力修改上传到其Google Play签名程序的.apk文件-他们已经这样做了。

当然，目前这只是一项微小的更改，肯定不是恶意的；但它仍然是您.apk的实际更改。他们添加了

<meta-data
      android:name="com.android.vending.derived.apk.id"
      android:value="1" />

到AndroidManifest.xml文件中：

下面是我在2018年研究此主题时所做的比较。它包括上传前的apk（使用上传密钥签名）和启用Google Play签署后从Google Play下载的apk。 从这张图中可以看出，只有两个变化 - 旧的签名（上传密钥）被移除，替换为Google签名。并且AndroidManifest.xml稍微添加了一些内容（包括上述元数据）。

我还想指出这个来自2017年的Google IO视频，在视频中介绍了Google Play签名：https://www.youtube.com/watch?v=5tdGAP927dk&feature=youtu.be。从11:25开始，他们讨论了一些称为“应用程序签名+优化”的东西。这个想法是，他们可以为您优化apk，并生成子apk。 这是一种可以在Google Play中为每个apk启用的东西。当然，今天你在任何文档中都找不到这些内容的提及，除了这个视频 - 这是因为他们后来想出了应用程序包，并将所有这些工作基本上都移到了应用程序包中。因此，这主要与问题有关：“什么阻止Google通过应用签名服务签署的APK文件跟踪我们的APK文件？” 这表明即使对于.apk文件，他们可以；他们打算；他们正在处理。

正如其他人所指出的那样，拥有给定应用程序的签名密钥和Google Play账户访问权限的人可以上传任何包含任何内容的.apk或.aab，只要packageName保持相同并且versionCode递增1。当然，在启用Google Play签名时，Google也适用于此。如果他们想，他们可以更改，删除或添加应用程序的任何部分。

值得记住的是，虽然是的，Google可以修改Google Play签名的.apk文件中的所有内容，但这些修改并不一定是恶意或有恶意意图的。无论是为了优化、兼容性还是热修复，都有很多理由可以或者会修改上传的apk并证明这些修改的合理性。而且他们不一定会警告开发人员；开发人员也不一定会对此进行抗议。

我相信谷歌不会故意对上传的应用程序进行恶意内容更改，主要原因是商业、声誉和伦理风险，在其他答案中已经很好地概述了。我无法想象这对谷歌来说是一个超过成本风险的有价值的攻击向量，尤其考虑到其他更强的可用向量。

最后，我将提到完整性检查作为发现此类操作的一种方式。在这个领域中有几种解决方案，可以进一步验证应用程序的完整性，比签名检查更加严格。无论应用程序开发人员自己开展还是使用现成的解决方案，这些检查通常在设备上的运行时运行，以验证apk的完整性；与编译时间或接近编译时间记录进行比较。在传输期间执行的apk修改也会被此类检查捕获，包括Google Play可能进行的任何更改。

免责声明：我在一家应用程序安全公司工作，对我们保护的应用程序执行此类完整性检查（以及许多其他检查和验证）。我们必须对Google Play可能对常规apk文件和应用程序包进行的所有更改进行记录和说明，以便区分Google Play执行的优化和恶意的重新打包应用程序的行为。

在某个时刻，处理器需要能够读取您的应用程序中的指令，以知道它应该做什么。操作系统本身需要知道如何处理您的应用程序。
暂且不考虑应用程序的打包方式，出于上述原因，我认为没有技术原因阻止Google或任何具有相关知识和资源的技术实体修改您的应用程序。让我进一步解释：
无论应用程序如何打包 - 操作系统加载应用程序的那一刻，您就知道应用程序的功能。如果操作系统不知道如何处理应用程序，则该应用程序将毫无用处。 您可以尝试混淆它，就像一些流行的蠕虫试图隐藏其目的一样，但这只是拖延不可避免的结果。人们从一开始就一直在反汇编和反编译软件，这就是为什么许多许可证曾经明确禁止反汇编。 了解这一点后，显然，如果“谷歌”想要修改您的应用程序，他们可以这样做，因为即使包被混淆，当应用程序最终执行时，您可以看到它正在做什么，然后记录下来，根据需要修改应用程序。他们也拥有所有必要的技术技能和资源。
让我们暂停一下：
使用签名进行签署的目的是为了确定接收到的应用程序副本是否真实，即在这种情况下，最终用户接收到的应用程序是否与Play商店上的应用程序匹配。目的是确保您拥有的副本与分发给其他用户的副本相同。 您问的是Google无法修改应用程序的技术原因 - 并没有。您自己提到apk只是一个zip文件。如果您的应用程序由您自己签名，并且该相同的签名包含在最终用户接收到的应用程序副本中，则最终用户可以验证Google是否篡改了您的应用程序。但是，如果您的签名被剥离，则用户只能信任Google。
您的问题很有趣，因为它让我想到了另一件事：我猜您提出问题的背景是“Google是否能够在分发之前修改应用程序”。随着现代设备变得越来越强大，什么能阻止操作系统（因为制造商可以定制他们的Android版本）在分发后或将来在执行期间动态修改应用程序呢？
我在下面留下这篇文章：

https://www.cs.cmu.edu/~rdriley/487/papers/Thompson_1984_ReflectionsonTrustingTrust.pdf

由于在我们今天使用的系统中，人类不可能单独验证每个软件的每一部分，因此这似乎将永远是一个长期存在的问题。
我也觉得有点有趣的是，人们认为只要应用程序的源代码可用，就意味着他们可以信任实际在设备上运行的应用程序 - 除非他们已经费力地检查了设备上的应用程序，否则从技术上讲，运行在他们设备上的应用程序可能与源代码描述的不同 - 它可能已被开发人员本身或分发应用程序的商店出于恶意或意外原因进行修改。
但信任必须从某个地方开始。未来，随着量子计算的发展，我们可能会改变做事的方式。但再次，能够真正理解系统每个部分的人很少，我们仍然必须把信任放在某个地方。即使我们理解某些东西，拥有资源来验证它也是另一回事...
那么，是什么阻止了谷歌对其进行修改？

• 他们真的需要吗？是开发人员通过创建和提交应用程序为Google Play创造价值。
• 如果谷歌未经您的许可修改您的应用程序，您会信任谷歌吗？隐私已经是一个重大问题，这将如何影响您对他们作为一家公司的看法。
• 如果他们的修改导致您的应用程序行为不正确并对客户、您或某个第三方实体造成损害，谁将承担责任？

以上只是考虑谷歌是否会修改您的应用程序时要考虑的一些原因。这是一个棘手的问题。最终，这归结于成本效益和风险回报分析。他们会修改您的应用程序用于什么目的，这是否值得承担任何后果的风险？

总之，技术上没有理由他们不能这样做。他们不这样做的原因是由于他们的商业动机和模式。没有什么可以说明他们将来会或不会这样做。但是，没有任何理由武断地修改应用程序 - 必须有一个有效的业务原因，从而产生某种收益。

在此可能会出现时代错误，敬请谅解。

当您说

应用签名服务会去除我们所拥有的任何签名

您确定它是这样做的吗？我们可以想象一种替代方案，它可以实现其他答案/评论中所述的所有内容：

假设开发者已上传其工件（例如 .obb 文件）并使用其上传密钥进行了签名。Google 附加其额外的元数据（将其视为一种差异文件）并重新对结果进行签名以产生扩展后的负载。在接收到设备时，Android 检查其收到的负载是否由 Google 正确签名（是的），删除（但保留）Google 添加的元数据，然后检查剩余的负载（开发者的 .obb）是否与开发者的签名一致。如果这个检查通过，而且这很可能是的，那么就将隐含在添加的元数据中的更改应用于原始的 .obb 中。

那个 .obb 变成了 Android 安装的工件。它不是开发者上传的那个。Google 没有剥夺开发者的上传签名，他们只是以一种不使原始签名失效的方式添加了额外的负载，然后添加了一些额外的负载和他们自己的签名。

我并不是在说他们正在这样做，只是他们可能会这样做。一旦您下载了有效负载并将其安装到设备上，您就能够检测到这一点。根据发送哪个设备的下载情况，它能否实现呢？我认为那不难。在这种情况下，除非您能够访问到被针对修改的设备，否则您将无法检测到它。在修改过程进行时检测到修改过程将非常困难。接收设备可以通过元数据“diff”的存在或缺失来立即区分修改后的有效负载和未修改的有效负载。

我不知道bundletool是否支持这种方案。我想那是您可以寻找线索的地方。

他们可能只是剥离开发者上传签名并用自己的签名替换它。对签名剥离的唯一保护来自接收方的检查。

当涉及到这个问题时，如果接收端可能会被入侵，您不能信任任何加密方案。无论有效负载是否加密（在这种情况下没有），或者仅仅是签名，如果接收端不执行方案，则发送者和用户都可能遭受攻击。

从技术上讲，在这种情况下，端点上的加密由设备制造商控制，尽管值得怀疑的是，他们是否会违背操作系统提供者 - Google - 的意愿或利益来行使这种控制，假设制造商甚至会检查这些事情。

简单回答：如果谷歌想的话，他们是可以的。在数字签名方案中，签署者在签名之前完全有能力修改文档。
为什么他们不这样做：因为开发人员可以轻松检测到它，而最重要的有效载荷 - 包含代码的classes*.dex - 可以被感兴趣的第三方（或应用程序创建者）轻松反编译以找出任何添加的代码。（将代码添加到JNI库中的可能性甚至更小）。澄清一下，开发人员的检测就像解压APK并将其内容与开发人员提交的内容进行比较一样容易。
如果在未通知开发人员的情况下向应用程序添加代码，可能会引起相当大的反弹。当然，在任何进一步的日期，谷歌都可以决定更改他们的使用条款，从DEX迁移到LLVM位码，或者做其他事情，这可能会改变这种行为。
澄清一下：确实，理论上谷歌可以仅向某些目标发送修改后的应用程序，但再次强调，只需发现一个这样的事件（也许是一个关注的应用程序用户将他或她的APK邮寄给开发人员？）就足以对谷歌产生深远的影响。

顺便提一下，这也适用于苹果公司，因为它是所有应用商店应用的签名者。在苹果的情况下，这更是一个问题，因为应用程序可能会被苹果重新编译（从BitCode到底层的ARMv8变体），并且应用程序由FairPlay加密部署，这使得在越狱设备之外解密应用程序几乎不可能。

作为轶事，你可以想象一下，恶意设备供应商是否可以更改dex2oat（设备上的编译器），以在应用程序安装和在设备本身上编译时注入任意代码。这将更难检测，因为在非rooted设备上，没有简单的方法来访问应用程序的已编译art/oat文件。但是，恶意供应商也可以直接修改Android框架。