根据Android 开发者文档：

Android 要求所有应用都使用证书进行数字签名。[...]证书不需要由证书颁发机构签名。

至少在我的情况下——用户群很小的多个应用程序——它们都是自签名的。

对于自签名应用程序，第三方可以篡改 APK 并再次对其进行自签名。这对于最终用户来说很难检测到。Stock-Android 不检查代码签名证书是否可信。

它只是验证 - 例如在更新的情况下 - 这两个 APK 来自同一开发者：

如果您将应用程序发布到 Google Play，然后丢失了您签署应用程序时使用的密钥，您将无法发布对应用程序的任何更新，因为您必须始终使用相同的密钥签署应用程序的所有版本。

正如@Noir 在他的评论中所说：你已经信任谷歌——你正在使用安卓——所以他们已经拥有了所有的可能性。