如何验证开源应用程序的应用商店版本是否运行相同的代码？

Question

android应用商店上有许多像K-9邮件这样的“开源”应用。如果我自己编译和构建源代码，我可以肯定得到的apk确实会做源代码所说的事情。

但是我如何验证提交给商店的apk实际上是编译相同源代码的结果呢？如何阻止k9制造者在提交给应用商店的版本中插入恶意代码？我没有看到任何散列，或者其他验证来源的方法。

(K-9只是一个例子)。

Answer 1

比较APK的内容:您从设备上拉出的APK(从Play Store或其他地方获得的)与您自己编译的APK。如果编译后的类不同，则可能需要进行更深入的调查。差异可能来自编译器、字节码转换器或混淆设置的差异。或者，这些差异可能表示“恶意代码”。这项工作取决于你。

或者，使用像F-Droid这样的存储，它可以从源代码本身编译。

或者，只使用您自己从源代码编译的版本。