¿Podemos verificar que una tienda de aplicaciones envíe el mismo código que se me mostró?

Navega tus respuestas
3

Al pensar en qué solución de mensajería usar en mi nuevo teléfono "inteligente", me incliné por los productos de código abierto, pensando que podría confiar más en ellos para brindarles la seguridad que prometen.

Ahora que he decidido cuál usar e instalar la aplicación desde una tienda de aplicaciones, me he estado preguntando: incluso si hubiera revisado el código fuente (admito que acabo de asumir que alguien lo hizo), ¿cómo podría saber que eso es lo que instalé?

Veo al menos dos posibles vectores de ataque:

  1. El proveedor de la aplicación puede enviar un código diferente al que publica (por ejemplo, a través de Github).
  2. El propietario de la tienda de aplicaciones (es decir, Google, Apple, ...) puede cambiar el código enviado.

Estimo que tan solo una o dos líneas adicionales (o faltantes) pueden hacer que incluso la configuración más sólida esté completamente abierta al ataque sin que el usuario sea más sabio.

Entonces, ¿hay alguna manera (preferiblemente una automatizada) para verificar que el apk que descargué de la tienda de aplicaciones coincida con el código que puedo ver en otra parte?

    
pregunta Raphael 09.01.2015 - 16:38
fuente

2 respuestas

2

Aquí tiene una idea de cómo puede verificar la integridad del código fuente en un paquete binario:

Descargue la aplicación desde un distribuidor, como Google Play, y almacene la aplicación localmente. Luego, compile el código fuente en una apk para crear una versión idéntica de la aplicación.

Luego haga una comparación binaria de 2 archivos apk, busque cualquier diferencia y anote su ubicación. Luego, desmonte ambos elementos con una herramienta como IDA Pro y verifique cuáles son las diferencias en el código.

Puede esperar algunas diferencias, porque los certificados de firma no coincidirán, pero el código subyacente debe ser el mismo, si no idéntico.

Como ejemplo, puede ver que la versión de Google de la aplicación tiene varias funciones que no están presentes en la fuente, lo que puede indicar algunas modificaciones en la fuente original.

    
respondido por el user4294507 09.01.2015 - 17:28
fuente
0

La tienda de aplicaciones F-Droid proporciona aplicaciones de código abierto que a menudo son creadas por F-Droid (elige una compilación de origen ).

Esto requiere que confíes en que F-Droid no manipulará la apk que proporcionan (voluntariamente o comprometerse), pero elimina la manipulación del desarrollador del mal.

Si no desea confiar en ninguna tienda de aplicaciones, deberá crear las aplicaciones usted mismo. De lo contrario, debes confiar en alguien .

    
respondido por el Ángel 09.01.2015 - 23:11
fuente

Lea otras preguntas en las etiquetas

conexión Bluetooth segura de Arduino a Android Cifrado del tráfico USB: ¿Es necesario RSA para el intercambio de claves de sesión AES cuando se usan claves secretas preinstaladas?