Android studio build signed apk
Mi primera idea fue enviar una intent con ADB y decodificar la clave para añadirla al almacén de claves de la aplicación. Pero esta solución fue considerada no lo suficientemente segura por mi empresa porque cualquiera con un acceso adb puede replicar la intención y anular la clave.
La solución elegida fue crear una segunda aplicación que sólo se instala cuando se realiza una configuración o un mantenimiento en el dispositivo. Esta aplicación debería recibir la intent y compartirla con la aplicación principal de forma segura. Esta segunda aplicación puede ser firmada con el mismo KeyStore que la primera.
Una vez oí que AndroidKeystore se comparte entre la misma aplicación firmada y, si es cierto, podría simplemente añadir la clave al Keystore de la segunda aplicación y la primera debería poder utilizarla. ¿Es esto cierto? Si es cierto, ¿cómo podría usarlo?
Propiedades clave android
Para utilizar Play App Signing en, debe ser propietario de una cuenta o un usuario con el permiso Liberar para producción, excluir dispositivos y utilizar Play App Signing, y debe aceptar las Condiciones del servicio de Play App Signing.
Nota: para las aplicaciones creadas antes de agosto de 2021, puedes subir un APK y gestionar tus propias claves en lugar de utilizar Play App Signing y publicar con un Android App Bundle. Sin embargo, si pierdes tu almacén de claves o se ve comprometido, no podrás actualizar tu aplicación sin publicar una nueva aplicación con un nuevo nombre de paquete. Para estas aplicaciones, Play recomienda utilizar Play App Signing y cambiar a paquetes de aplicaciones.
Un certificado contiene una clave pública e información de identificación adicional sobre quién es el propietario de la clave. El certificado de clave pública permite a cualquiera verificar quién firmó el paquete de aplicaciones o el APK, y puedes compartirlo con cualquiera porque no incluye tu clave privada.
Para registrar tu(s) clave(s) con los proveedores de API, puedes descargar el certificado público para tu clave de firma de aplicaciones y tu clave de subida desde la página de firma de aplicaciones de Play (Publicación > Configuración > Integridad de la aplicación) en Play Console. El certificado de clave pública puede compartirse con cualquiera. No incluye tu clave privada.
Publicar aplicación android
En algunos casos, es posible que desee optar por no incluir el permiso de ID de publicidad en su aplicación. Por ejemplo, si los clientes de tu aplicación son niños y familias, puede que el Permiso de ID de publicidad no sea relevante. Para excluir el Permiso de ID de publicidad de tu aplicación, sigue las instrucciones que aparecen más adelante en esta documentación.
keytool -exportcert -alias <RELEASE_KEY_ALIAS> -keystore <RELEASE_KEY_PATH> | PATH_TO_OPENSSL_LIBRARY\bin\openssl sha1 -binary | PATH_TO_OPENSSL_LIBRARYbin\openssl base64Asegúrese de utilizar la contraseña que estableció cuando creó la clave de lanzamiento por primera vez.
Almacén de claves de Android
La clave de firma criptográfica de un desarrollador es uno de los ejes principales de la seguridad de Android. Cada vez que Android actualiza una aplicación, la clave de firma de la aplicación antigua en tu teléfono debe coincidir con la clave de la actualización que estás instalando. Las claves coincidentes garantizan que la actualización procede realmente de la empresa que creó originalmente la aplicación y que no se trata de un plan malicioso de secuestro. Si se filtrara la clave de firma de un desarrollador, cualquiera podría distribuir actualizaciones de aplicaciones maliciosas y Android las instalaría sin problemas, pensando que son legítimas.
De algún modo, las claves de firma de estas empresas se filtraron a extraños, y ahora no se puede confiar en que las aplicaciones que dicen ser de estas empresas sean realmente de ellas. Para empeorar las cosas, las «claves de certificado de plataforma» que perdieron tienen algunos permisos importantes. Citando el post de AVPI
Un certificado de plataforma es el certificado de firma de la aplicación utilizado para firmar la aplicación «android» en la imagen del sistema. La aplicación «android» se ejecuta con un id de usuario altamente privilegiado – android.uid.system – y tiene permisos del sistema, incluyendo permisos para acceder a los datos del usuario. Cualquier otra aplicación firmada con el mismo certificado puede declarar que desea ejecutarse con el mismo identificador de usuario, lo que le da el mismo nivel de acceso al sistema operativo Android.
