Description

La signature d'application permet aux développeurs d'identifier l'auteur de l'application et de mettre à jour leur application sans créer d'interfaces ni d'autorisations compliquées. Chaque application exécutée sur la plateforme Android doit être signée par le développeur. Les applications qui tentent de s'installer sans être signées seront rejetées par Google Play ou par le programme d'installation du package sur l'appareil Android.

Sur Google Play, la signature d'application établit un lien entre la confiance que Google accorde au développeur et la confiance que le développeur a envers son application. Les développeurs savent alors que leur application n'a pas été falsifiée.

Reconnaissance

Assurez-vous que la version de la release a été signée via les schémas v1 et v2 pour Android 7.0 (niveau API 24) et supérieur et via les trois schémas pour Android 9 (niveau API 28) et supérieur, et que le certificat de signature de code dans l’APK appartient au développeur.

Les signatures APK peuvent être vérifiées avec l'outil apksigner.

$ apksigner verify --verbose Desktop/example.apk
Verifies
Verified using v1 scheme (JAR signing): true
Verified using v2 scheme (APK Signature Scheme v2): true
Verified using v3 scheme (APK Signature Scheme v3): true
Number of signers: 1

Le contenu du certificat de signature peut être examiné avec jarsigner. Notez que l'attribut Common Name (CN) est défini sur « Android Debug » dans le certificat de débogage.

Le résultat d'un APK signé avec un certificat de débogage est présenté ci-dessous :

$ jarsigner -verify -verbose -certs example.apk

sm     11116 Fri Nov 11 12:07:48 ICT 2016 AndroidManifest.xml

      X.509, CN=Android Debug, O=Android, C=US
      [certificate is valid from 3/24/16 9:18 AM to 8/10/43 9:18 AM]
      [CertPath not validated: Path doesn\'t chain with any of the trust anchors]
(...)