¿Cómo se puede detectar si Apple / Google / etc. ¿Ha modificado una aplicación de terceros distribuida a través de sus tiendas de aplicaciones?

6

¿Existen métodos realistas para verificar que Apple o quien no haya manipulado la aplicación de terceros distribuida a través de su App Store?

Por ejemplo, podría tener una aplicación de código abierto con desarrolladores ubicados en múltiples jurisdicciones que cooperen publicando el SHA para cada versión distribuida por los operadores de la App Store.

¿Alguien está haciendo esto para cualquier cliente ssh, mensajería extraoficial, etc. clientes distribuidos a través de las tiendas de aplicaciones?

¿Existe alguna App Store para la que se sepa que esto sea imposible, es decir, a menudo modifican la fuente sin revelar los cambios al autor original?

Por supuesto, hay programas de código cerrado como Covert Browser para los cuales no se puede realizar ninguna verificación, excepto por los autores.

    
pregunta Jeff Burdges 04.12.2011 - 22:56
fuente

3 respuestas

5

El desarrollador de la aplicación puede verificar, si lo desean, simplemente descargando e instalando la aplicación y confirmando que lo que obtienen coincide con lo que subieron.

Los usuarios aleatorios de los mercados no pueden comprobar por sí mismos que las aplicaciones que descargan no han sido modificadas por el mercado de aplicaciones. Pero probablemente podamos contar con los desarrolladores para quejarse públicamente si detectan este tipo de mal comportamiento con su propia aplicación. El hecho de que no hayamos visto ninguna queja pública de este tipo sugiere que probablemente no existe o es relativamente raro; es difícil imaginar que Google o Apple estén haciendo esto a gran escala, ya que sería demasiado fácil para alguien detectar esto y difundir las noticias.

Tenga en cuenta que, en los principales mercados de aplicaciones (como Android Market y iPhone App STore), la conexión entre el mercado de aplicaciones y el teléfono del usuario se asegura mediante SSL, por lo que los intrusos y los usuarios intermedios no pueden modificar la aplicación. Mientras está en tránsito. Así que realmente solo tenemos que confiar en Google y Apple.

Entonces, en el gran esquema de las cosas, probablemente no vale la pena preocuparse por esta amenaza. Google y Apple tienen muchos incentivos para no manipular las aplicaciones que se sirven en su tienda. Debería preocuparse más por la amenaza de las aplicaciones fraudulentas, de mala calidad o desagradables creadas de esa manera por el desarrollador.

    
respondido por el D.W. 05.12.2011 - 01:30
fuente
1
  

¿Existen métodos realistas para verificar que Apple o quien no haya manipulado la aplicación de terceros distribuida a través de su App Store?

No sé nada sobre Apple Store y sus mecanismos, o la tienda de Windows, o como se llame Ubuntu, pero ¿no es este un caso de firma de código?

Siempre que Apple / Google / NextBigCompany no haya logrado encontrar una colisión de hash utilizable, y su clave privada esté razonablemente bien protegida, esto debería permitir una distribución segura. Después de todo, esto es el punto entero del esquema de autenticodo.

Como señala Thomas, no hay garantía de que dicha compañía no pueda modificar el binario una vez que se haya cargado en la memoria. De hecho, en el caso del sistema operativo Windows, en realidad lo hacen deliberadamente (para hacer que tu binario funcione, no te asustes, no es maldad - consulta las correcciones de IAT). Pero tienes que decidir confiar en ellos en algún momento.

Si Apple y otros no permiten aplicaciones de código firmado, deberían hacerlo.

    
respondido por el user2213 09.02.2013 - 16:04
fuente
0

Si Apple es el villano de la historia, entonces no necesitan modificar la aplicación; pueden modificar el sistema operativo que luego parcheará la aplicación dinámicamente cuando se descargue de la tienda. En otras palabras, Apple es tu amigo (o, más apropiadamente, tu dios) porque no tienes más remedio que confiar en ellos.

(Excepto si decide no utilizar ningún producto Apple, por supuesto. Aún tiene esa opción).

    
respondido por el Thomas Pornin 09.02.2013 - 15:58
fuente

Lea otras preguntas en las etiquetas