背景

我知道在Dungeons清单中（应用内购买示例，对于那些不了解的人）中的接收器没有包括一个权限元素，但是Lint警告我："Exported receiver does not require permission (...) Without this, any application can use this receiver"。

如果我理解正确，一个应用程序可以使用假数据欺骗我（可能是在制作的系统中，不确定），可能会冒充Play应用程序并提供伪造的结算记录。

问题

1. 这是对的吗？在普通的消费者Android设备上有什么影响？

2. 我应该写什么来期望正常行为？ 我认为这意味着只允许我的接收器从合法的Play应用程序接收广播。是com.android.vending.BILLING吗？在这种情况下，我认为一个欺骗性的系统可能会声明这一点。这导致3：

3. 我是否也应该与众所周知的Google公共签名进行比较，以避免欺骗性系统？

评论

我知道这些内容对某些人来说可能过于复杂，但我在考虑理论。 :-)

另外，我不需要清单定义的接收器，所以我从来没有太关注它们。话虽如此，如果我理解不正确，请纠正我。是的，我之前和现在都读过文档。

谢谢。