¿Por qué la distribución a través de Google Play sería más segura que la distribución de archivos APK?

Una de las mejores prácticas de seguridad es mantener su software actualizado. Con Google Play Store, puedes configurar las aplicaciones instaladas para que se actualicen automáticamente (si aún no está configurado de forma predeterminada).

Para mantener actualizadas las aplicaciones descargadas manualmente, tendría que descargar sus APK cada vez que sus desarrolladores publiquen una nueva versión. Para hacer esto, es probable que tenga que suscribirse a un boletín o fuente RSS, y revisar regularmente su lector de correo electrónico / RSS. Esta podría ser una configuración aceptable para un par de aplicaciones, pero se volverá problemática a medida que aumente el número de aplicaciones. Sin mencionar, probablemente tendrás que revisar las firmas / sumas de comprobación de las aplicaciones una por una para verificar su integridad.

Cuando utiliza Google Play para distribuir su aplicación, declara que cumple con la Política de contenido de Google. , lo que significa que la aplicación es más segura para los usuarios finales de muchas maneras, incluidas algunas restricciones de seguridad . Los usuarios finales saben que Google analiza todas las aplicaciones que se cargan en Play Store y elimina metódicamente las que no siguen a las reglas , o simplemente se portan mal.

En Play Store, los usuarios pueden verificar de manera confiable los permisos que tu aplicación solicitará y ver las quejas de otros usuarios, no filtradas por tu RP.

Para usar su canal de distribución independiente, deben alcanzar la opción "habilitar Fuentes desconocidas" que se encuentra en la sección "Configuración de seguridad". Es peligroso dejar este conmutador habilitado, porque algunos programas maliciosos también usan este canal de distribución.

El Programa de mejora de la seguridad de la aplicación también puede ayudar a un desarrollador independiente a evitar algunos riesgos, por ejemplo. avisará al desarrollador si se detecta alguna biblioteca obsoleta o implementación insegura.

Sin embargo, es importante comprender que el uso de Play Store no hace que su aplicación sea menos vulnerable a la piratería, aún puede ser robada, revertida e incluso cargada en la misma Play Store por una parte maliciosa con un nombre diferente .

ACTUALIZACIÓN : aquí hay algunas restricciones de seguridad impuestas por las políticas de desarrollador de Google Play:

  

Lo siguiente está explícitamente prohibido:

     

• virus, troyanos, malware, spyware o cualquier otro malicioso   software.
  
• Aplicaciones que enlazan o facilitan la distribución o   Instalación de software malicioso.
  
• aplicaciones o SDK que descargan   Código ejecutable, como archivos dex o código nativo, de una fuente   aparte de Google Play.
  
• Aplicaciones que introducen o explotan la seguridad.   vulnerabilidades
  
• aplicaciones que roban la información de autenticación de un usuario   (como nombres de usuario o contraseñas) o que imitan otras aplicaciones o sitios web   engañar a los usuarios para que revelen personal o autenticación   información.
  
• Las aplicaciones que instalan otras aplicaciones en un dispositivo sin el   consentimiento previo del usuario.
  
• aplicaciones diseñadas para recopilar en secreto el uso del dispositivo,   como aplicaciones de software espía comerciales.
  

En primer lugar, la publicación de un APK en su sitio web fomenta malas prácticas de seguridad por parte del usuario. En mi opinión, debería alentar al usuario promedio a confiar solo en Google Play Store por los siguientes motivos:

• La descarga de archivos APK desde un sitio web requiere que el usuario confirme la la fuente es segura y legítima, o prueba el APK para asegurarte de que está seguro. En la práctica, muchos usuarios solo confían en Google Play Protect para detectar aplicaciones maliciosas y corren el riesgo de infectarse con troyanos como Googlian o este fake Google Chrome
• No usar Google Play store hace que sea más difícil mantener las aplicaciones A hoy. Si se encuentra un error de seguridad en su código, o en un archivo compartido la biblioteca necesita un parche de seguridad, ¿cómo vas a asegurarte de que todos ¿Los usuarios conocen la actualización? Las aplicaciones cargadas lateralmente no se actualizan en la Play Store . No es sencillo proporcionar una notificación al usuario y, especialmente, forzarlo a actualizar cualquiera .
• La carga lateral, o la instalación de aplicaciones desde fuentes distintas a Google Play, requiere cambiar la configuración de seguridad para habilitar la carga lateral. Esto abre los usuarios al malware de carga lateral accidentalmente si no tienen cuidado, incluso a través de otros canales como malvertising . En Android Oreo, este permiso es un un poco más complejo , pero aún puede abrir usuarios para la carga lateral. a través de publicidad maliciosa.

Segundo, su sitio web es probablemente menos seguro que la tienda de aplicaciones de Google. Si un atacante compromete su sitio web (o redirige a los usuarios a sus servidores mediante un ataque de envenenamiento MITM o DNS), podría engañar a los usuarios para que instalen una versión comprometida de la APK. Publicar el hash de la APK o la firma de su desarrollador no ayudará aquí ya que también podrían cambiar esa parte del sitio web ( ofrecen una protección de seguridad muy limitada , y las firmas son en su mayoría para autenticación y no rechazo del desarrollador ). Dependiendo de qué tan seguro esté su sitio web, esto puede no ser una amenaza grande y realista. Por lo general, los sitios comprometidos en su lugar no tan sutilmente fomentan la descarga de aplicaciones de malware genérico bajo la apariencia de Adobe flash, una actualización del navegador, etc. (como este ejemplo ).

En tercer lugar, su sitio web podría ser falsificado o falsificado. Se sabe que los piratas informáticos crean sitios web bancarios que parecen legítimos, publican enlaces a ellos o los optimizan mediante SEO, y siembran aplicaciones bancarias falsas con malware en el sitio falso ( source ). Esto coincide con mi punto anterior de que debería alentar a su usuario promedio a confiar solo en Google Play store.

Nota: Me he centrado intencionalmente en los problemas de seguridad que están en juego aquí, en lugar de los problemas de utilidad y conveniencia significativos.

La seguridad y muchas otras razones que la gente dice en los comentarios podrían ser, pero no olvide el poder real de Google Play:

Creo que la razón principal es que en Google Play puedes golpear a muchas más personas. Es una forma fácil y rápida de llegar a más usuarios que intentan dar a conocer su aplicación.