¿Por qué tantos desarrolladores de Android usan Google Play para distribuir aplicaciones en lugar de (o además de) simplemente poner el APK en su sitio web seguro junto con una suma de comprobación o una firma de él?
Una de las mejores prácticas de seguridad es mantener su software actualizado. Con Google Play Store, puedes configurar las aplicaciones instaladas para que se actualicen automáticamente (si aún no está configurado de forma predeterminada).
Para mantener actualizadas las aplicaciones descargadas manualmente, tendría que descargar sus APK cada vez que sus desarrolladores publiquen una nueva versión. Para hacer esto, es probable que tenga que suscribirse a un boletín o fuente RSS, y revisar regularmente su lector de correo electrónico / RSS. Esta podría ser una configuración aceptable para un par de aplicaciones, pero se volverá problemática a medida que aumente el número de aplicaciones. Sin mencionar, probablemente tendrás que revisar las firmas / sumas de comprobación de las aplicaciones una por una para verificar su integridad.
Cuando utiliza Google Play para distribuir su aplicación, declara que cumple con la Política de contenido de Google. , lo que significa que la aplicación es más segura para los usuarios finales de muchas maneras, incluidas algunas restricciones de seguridad . Los usuarios finales saben que Google analiza todas las aplicaciones que se cargan en Play Store y elimina metódicamente las que no siguen a las reglas , o simplemente se portan mal.
En Play Store, los usuarios pueden verificar de manera confiable los permisos que tu aplicación solicitará y ver las quejas de otros usuarios, no filtradas por tu RP.
Para usar su canal de distribución independiente, deben alcanzar la opción "habilitar Fuentes desconocidas" que se encuentra en la sección "Configuración de seguridad". Es peligroso dejar este conmutador habilitado, porque algunos programas maliciosos también usan este canal de distribución.
El Programa de mejora de la seguridad de la aplicación también puede ayudar a un desarrollador independiente a evitar algunos riesgos, por ejemplo. avisará al desarrollador si se detecta alguna biblioteca obsoleta o implementación insegura.
Sin embargo, es importante comprender que el uso de Play Store no hace que su aplicación sea menos vulnerable a la piratería, aún puede ser robada, revertida e incluso cargada en la misma Play Store por una parte maliciosa con un nombre diferente .
ACTUALIZACIÓN : aquí hay algunas restricciones de seguridad impuestas por las políticas de desarrollador de Google Play:
Lo siguiente está explícitamente prohibido:
- virus, troyanos, malware, spyware o cualquier otro malicioso software.
- Aplicaciones que enlazan o facilitan la distribución o Instalación de software malicioso.
- aplicaciones o SDK que descargan Código ejecutable, como archivos dex o código nativo, de una fuente aparte de Google Play.
- Aplicaciones que introducen o explotan la seguridad. vulnerabilidades
- aplicaciones que roban la información de autenticación de un usuario (como nombres de usuario o contraseñas) o que imitan otras aplicaciones o sitios web engañar a los usuarios para que revelen personal o autenticación información.
- Las aplicaciones que instalan otras aplicaciones en un dispositivo sin el consentimiento previo del usuario.
- aplicaciones diseñadas para recopilar en secreto el uso del dispositivo, como aplicaciones de software espía comerciales.
En primer lugar, la publicación de un APK en su sitio web fomenta malas prácticas de seguridad por parte del usuario. En mi opinión, debería alentar al usuario promedio a confiar solo en Google Play Store por los siguientes motivos:
Segundo, su sitio web es probablemente menos seguro que la tienda de aplicaciones de Google. Si un atacante compromete su sitio web (o redirige a los usuarios a sus servidores mediante un ataque de envenenamiento MITM o DNS), podría engañar a los usuarios para que instalen una versión comprometida de la APK. Publicar el hash de la APK o la firma de su desarrollador no ayudará aquí ya que también podrían cambiar esa parte del sitio web ( ofrecen una protección de seguridad muy limitada , y las firmas son en su mayoría para autenticación y no rechazo del desarrollador ). Dependiendo de qué tan seguro esté su sitio web, esto puede no ser una amenaza grande y realista. Por lo general, los sitios comprometidos en su lugar no tan sutilmente fomentan la descarga de aplicaciones de malware genérico bajo la apariencia de Adobe flash, una actualización del navegador, etc. (como este ejemplo ).
En tercer lugar, su sitio web podría ser falsificado o falsificado. Se sabe que los piratas informáticos crean sitios web bancarios que parecen legítimos, publican enlaces a ellos o los optimizan mediante SEO, y siembran aplicaciones bancarias falsas con malware en el sitio falso ( source ). Esto coincide con mi punto anterior de que debería alentar a su usuario promedio a confiar solo en Google Play store.
Nota: Me he centrado intencionalmente en los problemas de seguridad que están en juego aquí, en lugar de los problemas de utilidad y conveniencia significativos.
La seguridad y muchas otras razones que la gente dice en los comentarios podrían ser, pero no olvide el poder real de Google Play:
Creo que la razón principal es que en Google Play puedes golpear a muchas más personas. Es una forma fácil y rápida de llegar a más usuarios que intentan dar a conocer su aplicación.
Lea otras preguntas en las etiquetas google google-apps android