App 备案登记表内要求填写 MD5 信息，那以后是不是每次更新 App 都需要更新或重新备案？

这个是真的，但是只能实现恶意规避，不能实现热更新。

想要实现热更新，得实现对于固定hash值的碰撞，这是第一原像hash攻击。md5尽管受到了威胁，但是依然保持着2^122左右的复杂度来抵抗第一原像攻击。

但是第二原像攻击可以实现，指生产两个包。一个为恶意包，另外一个为正常包。但是两个包的hash值相等，并上传正常包进行审核。从而实现绕过包审核制度。

具体的工具有很多，可以github搜索一下。