Por que eu ativaria "Instalar aplicativos desconhecidos?"


11

Eu tenho um LG G7 Thin Q rodando Oreo. Enquanto vasculhava as configurações, me deparei com "Instalar aplicativos desconhecidos". Configurações -> Aplicativos e notificações -> Acesso especial -> Instalar aplicativos desconhecidos Captura de tela das configurações de instalação de aplicativos desconhecidos

É uma lista de programas que podem instalar aplicativos desconhecidos. Somente o Messaging e o Email têm permissão para instalar aplicativos desconhecidos.

Por que o Android tem a opção de aplicativos instalarem aplicativos desconhecidos? Parece bastante vulnerável a malware.

Respostas:


7

Ao iniciar o Android Oreo, o carregamento lateral (instalar um aplicativo de uma fonte diferente da Play Store) tornou-se realmente mais seguro.

Anteriormente (Naugat ou abaixo), quando você marcava a opção "Fontes desconhecidas", na verdade permitia universalmente todas as fontes apk (Chrome, Amazon Appstore etc.). Significa que o sistema não se importava com a fonte do arquivo apk.

Agora, você precisa permitir aplicativos individuais que podem ser definidos como fonte. E não se preocupe: esse aplicativo permitido não poderá instalar aplicativos em segundo plano. Você ainda precisará pressionar o botão Instalar para instalar um aplicativo. Portanto, não há comprometimentos de segurança aqui. Você ficará tranqüilo ao pressionar o botão Instalar. Se você permitiu apenas o Amazon Appstore, pode ter certeza de que não instalará um apk malicioso que foi baixado em segundo plano por um aplicativo de anunciante.


Na verdade, isso não é verdade. Até o bug atual usado para um exemplo abaixo no meu post sobre o Fortnite estava fazendo exatamente isso. Se você deu permissão para instalar o Fortnite com o "permitir fontes desconhecidas" e instalou o Fortnite, ele deu a outros aplicativos a capacidade de instalar aplicativos sem a sua permissão em segundo plano com o bug que estava no aplicativo.
Jay Snayder

O ataque Man-in-the-Disk do @JaySnayder é um cenário totalmente diferente. Caso você tenha instalado o Fortnite, primeiro você precisa instalar um aplicativo auxiliar. Esse aplicativo auxiliar baixa o arquivo apk e você instala o arquivo apk pressionando o botão instalar. O bug simplesmente permitia que um aplicativo malicioso substituísse o arquivo apk que o aplicativo auxiliar baixou.
Android Quesito

Depois que o auxiliar entra no sistema, ele pode instalar aplicativos silenciosamente no dispositivo, sem solicitações de permissão do usuário, quando essa caixa é alternada.
Jay Snayder

@JaySnayder Esse não é o comportamento padrão do Oreo. Nos dispositivos Samsung, o Instalador do Fortnite executa a instalação do APK silenciosamente por meio de uma API privada do Galaxy Apps.
Android Quesito

4

O Android desde o início representou uma "plataforma aberta" e ajuda a obter um pouco de contexto.

No momento do seu lançamento, a plataforma móvel era relativamente única com uma cadeia de ferramentas de desenvolvedor que funcionava no Windows, Mac e Linux. Cada dispositivo pode ser colocado no 'modo de desenvolvedor' sem a necessidade de registrar o dispositivo em um servidor de autorização central (consulte o iOS da Apple e, posteriormente, o Windows Phone da Microsoft).

A distribuição de aplicativos em não-smartphones era normalmente feita por operadora e parte desse comportamento persistia até 2011, com a AT&T removendo "fontes desconhecidas" de seus telefones:

https://forums.att.com/t5/Android/quot-Unknown-Sources-quot/td-p/2814557

e as operadoras continuam a agrupar seus próprios aplicativos em dispositivos vendidos em sua rede, como bloatware.

A documentação oficial do desenvolvedor faz menção a distribuição alternativa:

https://developer.android.com/distribute/marketing-tools/alternative-distribution

Como uma plataforma aberta, o Android oferece opções. Você pode distribuir seus aplicativos Android para os usuários da maneira que desejar, usando qualquer abordagem de distribuição ou combinação de abordagens que atenda às suas necessidades. Desde a publicação em um mercado de aplicativos até a veiculação de aplicativos em um site ou o envio direto a eles por usuários, você nunca fica preso a uma plataforma de distribuição específica.

Portanto, se você é desenvolvedor de aplicativos, uma vez que pode comprar os dispositivos, em teoria, pode baixar as ferramentas gratuitas de desenvolvedor, escrever os aplicativos, testá-los e implantar (ambiente corporativo ou região não suportada pelo Google) sem precisar interagir com Google em uma capacidade oficial.

Os aplicativos de distribuição de terceiros incluem a App Store da Amazon, o Fortnite da Epic Games e o F-Droid (aplicativos de código aberto).

Com o Android 8.0, as permissões de instalação de granulação fina foram adicionadas para que o usuário final agora possa bloquear aplicativos autorizados anteriores sem bloquear outros:

https://developer.android.com/studio/publish/#publishing-unknown


3

O Android fornece esse recurso há algum tempo. Eles não habilitam o recurso por padrão, porque ignora alguns dos princípios de segurança do sistema operacional.

Quando você está instalando a partir da Google Play Store, não precisa desse recurso ativado. A Google Play Store fará várias outras verificações de segurança nos aplicativos APK e garantirá que não haja brechas de segurança flagrantes.

Um caso disso é quando você está fazendo backup de aplicativos no seu dispositivo. Você pode criar backups de seus aplicativos para armazenamento offline. Em seguida, você pode instalar diretamente desse arquivo .apk que você salvou mais tarde com esse recurso ativado. Ou, se você é um desenvolvedor, pode manter versões diferentes disponíveis para facilitar a instalação posteriormente ou manter outras versões desse software.

Normalmente, não é recomendável ativar apenas alguns desses recursos e apenas fazer o download de arquivos .apk encontrados na Web, pois eles podem não ser gentis. Mas existem sites de hospedagem de aplicativos por aí. A ativação desse recurso permite fazer o download a partir dessas fontes.

O FortNite foi um exemplo recente de um jogo lançado fora da Google Play Store e você precisava ativar esse recurso e ignorar a segurança. O principal motivo é o som; O Google recebe 30% dos lucros quando você usa seus serviços. Devido à popularidade do jogo, o Google decidiu fazer uma auditoria de segurança dos servidores para o jogo quando foi lançado e trouxe à tona várias brechas críticas de segurança em seu sistema que permitiriam instalações silenciosas de aplicativos terríveis, além de outros recursos. que estava ignorando. O que eu acho inteligente da parte do Google, porque, embora não estivesse no tribunal deles resolver o problema, os dedos estariam apontando o caminho.


O Google NÃO leva 30% apenas para usar a Play Store. Hospedar um aplicativo na Play Store não significa que ele precisa usar o processador de pagamento do Google (que leva 30%). O Fortnite pode hospedar o aplicativo na Play Store e ainda evitar uma cobrança de 30% usando o PayPal ou seu próprio processador de pagamento.
Android Quesito

Interessante que eles não seguiram esse caminho então. Embora eu assuma que essas outras opções provavelmente também serão prejudicadas e que elas as evitem completamente.
Jay Snayder

O motivo é principalmente político. Dica: Parceria entre Samsung e Fortnite.
Android Quesito

2

Ser capaz de instalar através de plataformas adicionais, como o f-droid , onde existem várias partes de software livre. Geralmente, eles são de código aberto e sem anúncios, o que significa que você também pode contribuir com eles, se desejar.

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.