La tienda de juegos utiliza SSL / TLS para garantizar la integridad de sus descargas, al igual que su navegador web. Básicamente, descarga metadatos para un paquete particular que incluye una URL HTTP simple y una suma de comprobación del binario. Después de la descarga, compara la suma de comprobación con el APK y garantiza que coincidan.
¿Cómo puedo confiar en que me estoy comunicando de forma segura para descargar y actualizar?
el software
Esto le proporciona una seguridad razonablemente segura de que la descarga no se ha comprometido durante el proceso de comunicación, sin embargo, si el TLS se puede comprometer, la solicitud de metadatos que contiene la URL de descarga y la suma de comprobación se puede alterar.
Comprometer el TLS no sería trivial para la mayoría de los adversarios, sin embargo, el TLS depende de la integridad de los 150 certificados de CA raíz instalados en el dispositivo. Muchos de estos certificados de CA confiables están controlados por departamentos de varios gobiernos, incluidos los Estados Unidos y China. Si su adversario tiene los recursos de un estado nacional, existe una buena posibilidad de que puedan comprometer sus descargas.
También existe la posibilidad de que un atacante engañe al usuario para que instale un certificado de CA raíz malicioso a través de técnicas de ingeniería social como el phishing. Sin embargo, Android tiene defensas razonablemente sólidas contra esto, incluida una advertencia en la barra de notificaciones cada vez que se instalan certificados de CA adicionales.
Otra capa de defensa es que ciertos permisos solo pueden ser accedidos por archivos APK firmados por el mismo certificado que el sistema. Esto proporciona protección adicional para las aplicaciones del sistema, como la aplicación de configuración.
asegúrese de que el software descargado con mi cuenta sea 100% confiable
y seguridad?
Lo que he mencionado anteriormente asegura que tu descarga es lo que querías descargar. No garantiza que lo que pretendía descargar sea confiable o seguro. Google realiza un análisis automatizado de los envíos para detectar funciones maliciosas (llaman a este sistema "Bouncer"), sin embargo, solo lo consideraría una primera línea de defensa.
En general, debe aplicar la misma discreción a las Aplicaciones que a los programas de PC.
- Solo descargar de proveedores confiables
- Revisar opiniones y comentarios
- Verifique los permisos de forma manual y exhaustiva
- No instale software que no tiene absolutamente que hacer
Etc, etc.
Nota: mi respuesta es aplicable a Android 4.4.4 y Play Store 4.9.13, sin embargo, lo más probable es que también se aplique a las versiones más recientes.