如果我的 Apps 私钥 public 会有任何后果吗?

Does it have any consequences if my Apps private key public?

我正在开发一个 Android 应用程序,为了测试应用程序购买,我必须在 Google Play 开发者控制台中设置它的页面。这需要我上传一个 .apk,所以我上传了一个创建了 IntelliJ IDEA 的空白项目。 IntelliJ 有一个使用其默认证书签名的选项(其密码为 public),我使用此选项认为这无关紧要,因为稍后我会上传使用我自己的证书签名的应用程序。

但据我所知,Google 不允许我在应用发布后更改 .apk 的签名证书(我发布到封闭式 alpha 测试)。我唯一的选择是在 Google Play 控制台中创建一个新应用,但这需要有不同的应用 ID,我真的不希望这样。

如果我发布了我的应用程序并且每个人都可以找到我用于签署我的应用程序的证书的密码(并且他们也可以下载该证书),这会有什么样的风险?有吗?

我能想到的发布使用已知密钥签名的 APK 的唯一风险是:

  1. 如果有人知道您 Google 帐户的密码,他们就可以登录并发布您的应用程序更新,因为他们还可以使用您最初使用的密码对 APK 进行签名。

  2. 如果您的应用程序安装在设备上,则有人可以向其旁加载更新,并且 Android 将允许应用程序 ID 和签名都匹配。然后,此旁加载应用程序将有权访问在之前安装该应用程序时创建的所有用户数据。

如果由我决定是否使用此密钥发布,我会创建一个新的应用程序 ID。消费者真的不关心那个字符串,甚至可能永远不会看到它。