Desde el sitio web de Android :
Android requiere que todas las aplicaciones estén firmadas digitalmente con un certificado antes de que puedan ser instalados.
La firma garantiza que solo el desarrollador original pueda publicar una actualización para su aplicación. No garantiza que ninguna aplicación falsificada se entregue al usuario en primer lugar. El desarrollador no puede supervisar si Google entrega versiones "reales" de sus aplicaciones o versiones falsas. Así que el usuario final tiene que confiar en google. ¿Por qué no confiar completamente en Google y eliminar la firma? El desarrollador se autentica en Google a través de su cuenta de Google y, por lo tanto, todas las aplicaciones son rastreables para su desarrollador. Y la ruta de acceso de Google a la aplicación Play Store se puede proteger a través de https.