Fra Android-nettstedet:
Android krever at alle apper er signert digitalt med et sertifikat før de kan installeres.
Signaturen sørger for at bare den opprinnelige utvikleren kan publisere en oppdatering for appen sin. Det sikrer ikke at ingen forfalsket app blir levert til brukeren i utgangspunktet. Utvikleren kan ikke overvåke om google leverer "ekte" versjoner av apks eller falske. Så sluttbrukeren må stole på google. Hvorfor ikke stole helt på google, og fjerne signaturen? Utvikleren autentiserer seg til google via sin Google-konto, og derfor kan alle apper spores til utvikleren. Og stien fra google til play store-appen kan sikres gjennom https.