¿Cuáles son las posibilidades de que un tercero pueda realizar cambios en las aplicaciones de Google Play que he instalado, de modo que la próxima actualización se vea comprometida?
¿Cuáles son las posibilidades de que un tercero pueda realizar cambios en las aplicaciones de Google Play que he instalado, de modo que la próxima actualización se vea comprometida?
Esta es una pregunta difícil de responder. Si la policía supiera de una vulnerabilidad que les permitiría reemplazar las aplicaciones en Google Play, podrían usarla (con diversos grados de legalidad). Tal vez podrían obtener una orden judicial que obligue a Google Play a permitirles actualizar las aplicaciones de otras personas (pero sospecho que Google luchará contra esto lo mejor que pueda). La policía podría incluso pagarle al desarrollador de la aplicación para que incluya modificaciones específicas. Probablemente no hay manera de estar seguro.
Pero este problema no es específico de Google Play, Android o dispositivos móviles. Sabemos que la NSA ha interceptado los envíos de hardware para manipular el hardware.
Si está en los EE. UU., me parece poco probable que usted sea el objetivo de las autoridades policiales mediante un ataque como este, a menos que sea sospechoso de estar involucrado en amenazas a la seguridad nacional. Pero eso es sólo una conjetura. Realmente no podemos saberlo. Todo lo que sabemos es que no se ha hecho nada público que indique que la policía ha hecho esto para las amenazas de seguridad no nacionales.
Desde la perspectiva de un atacante que desea actualizar la aplicación en Google Play Store sin el conocimiento del desarrollador (o doblar el brazo de Google para aceptar la aplicación malintencionada):
Un obstáculo es lograr que los dispositivos Android de la víctima acepten la actualización como una actualización, en lugar de una aplicación completamente nueva.
Actualización de la aplicación: cuando el sistema está instalando una actualización de una aplicación, compara los certificados de la nueva versión con los de la versión existente. El sistema permite la actualización si los certificados coinciden. Si firma la nueva versión con un certificado diferente, debe asignar un nombre de paquete diferente a la aplicación; en este caso, el usuario instala la nueva versión como una aplicación completamente nueva.
Fuente: enlace
Incluso si el atacante puede cargar su .apk malicioso en Google Play Store, debería poder firmarlo con la clave privada del desarrollador. Obtener una clave privada puede variar en dificultad de desarrollador a desarrollador, por lo que es difícil evaluar las posibilidades de que esto suceda.
Lea otras preguntas en las etiquetas cloud-computing