He leído esta página de desarrolladores de Android con respecto a la firma de código que dice:
Puede usar certificados autofirmados para firmar sus aplicaciones. No Se necesita autoridad de certificación.
También he leído las respuestas a " ¿Cómo se puede detectar si Apple / Google / etc. ha modificado una aplicación de terceros distribuida a través de sus tiendas de aplicaciones? "
Mi pregunta es: si Google se ve obligado a manipular una aplicación de Android en particular en la Play Store (por ejemplo, TextSecure) para ponerla en peligro, ¿es posible defenderse contra la manipulación dirigida a personas en particular?
Escenario de ejemplo: las personas de interés están usando TextSecure en sus teléfonos Android para comunicarse. Un gobierno obliga a Google a enviar versiones modificadas de TextSecure a esos teléfonos para comprometer las comunicaciones.
Puedo pensar en una solución indirecta: al usar una bifurcación del sistema operativo Android que no está actualizada por Google, instale una aplicación que no sea de Play Store que verifique constantemente la validez de la instalación existente de TextSecure (tal vez usando algo tan simple como valores de hash).
¿Hay otras posibilidades? (por ejemplo, si una aplicación está firmada con un certificado validado por CA, ¿se verificará en tiempo de ejecución?)