Сценарий: Предположим, путем обратного проектирования.apk злоумышленник получаетSENDER ID для службы регистрации Push, используемой в приложении. Атакующий разрабатывает похожее поддельное приложение, которое имеет такое же / другое имя пакета и загружено в другой магазин приложений, чем Google Play.

Мой вопрос: Может ли он / она использовать тот же идентификатор отправителя с приложением? Каковы последствия этого для пользователя, который устанавливает это поддельное приложение?

Смежные вопросы: безопасность обмена сообщениями в облаке Google вопрос вроде немного похож. Также ответAndroid GCM: тот же идентификатор отправителя для большего количества приложений Вопрос предоставляет ценную информацию. Читая оба принятых ответа, можно сделать вывод, что это абсолютно возможно, и поэтому рекомендуется не иметь конфиденциальных данных в Push-сообщениях.

Но это не похоже на решение проблемы. Я не могу понять эффект от ошибки безопасности.