Por que eu ativaria "Instalar aplicativos desconhecidos?"

Eu tenho um LG G7 Thin Q rodando Oreo. Enquanto vasculhava as configurações, me deparei com "Instalar aplicativos desconhecidos". Configurações -> Aplicativos e notificações -> Acesso especial -> Instalar aplicativos desconhecidos

É uma lista de programas que podem instalar aplicativos desconhecidos. Somente o Messaging e o Email têm permissão para instalar aplicativos desconhecidos.

Por que o Android tem a opção de aplicativos instalarem aplicativos desconhecidos? Parece bastante vulnerável a malware.

Ao iniciar o Android Oreo, o carregamento lateral (instalar um aplicativo de uma fonte diferente da Play Store) tornou-se realmente mais seguro.

Anteriormente (Naugat ou abaixo), quando você marcava a opção "Fontes desconhecidas", na verdade permitia universalmente todas as fontes apk (Chrome, Amazon Appstore etc.). Significa que o sistema não se importava com a fonte do arquivo apk.

Agora, você precisa permitir aplicativos individuais que podem ser definidos como fonte. E não se preocupe: esse aplicativo permitido não poderá instalar aplicativos em segundo plano. Você ainda precisará pressionar o botão Instalar para instalar um aplicativo. Portanto, não há comprometimentos de segurança aqui. Você ficará tranqüilo ao pressionar o botão Instalar. Se você permitiu apenas o Amazon Appstore, pode ter certeza de que não instalará um apk malicioso que foi baixado em segundo plano por um aplicativo de anunciante.

O Android desde o início representou uma "plataforma aberta" e ajuda a obter um pouco de contexto.

No momento do seu lançamento, a plataforma móvel era relativamente única com uma cadeia de ferramentas de desenvolvedor que funcionava no Windows, Mac e Linux. Cada dispositivo pode ser colocado no 'modo de desenvolvedor' sem a necessidade de registrar o dispositivo em um servidor de autorização central (consulte o iOS da Apple e, posteriormente, o Windows Phone da Microsoft).

A distribuição de aplicativos em não-smartphones era normalmente feita por operadora e parte desse comportamento persistia até 2011, com a AT&T removendo "fontes desconhecidas" de seus telefones:

https://forums.att.com/t5/Android/quot-Unknown-Sources-quot/td-p/2814557

e as operadoras continuam a agrupar seus próprios aplicativos em dispositivos vendidos em sua rede, como bloatware.

A documentação oficial do desenvolvedor faz menção a distribuição alternativa:

https://developer.android.com/distribute/marketing-tools/alternative-distribution

Como uma plataforma aberta, o Android oferece opções. Você pode distribuir seus aplicativos Android para os usuários da maneira que desejar, usando qualquer abordagem de distribuição ou combinação de abordagens que atenda às suas necessidades. Desde a publicação em um mercado de aplicativos até a veiculação de aplicativos em um site ou o envio direto a eles por usuários, você nunca fica preso a uma plataforma de distribuição específica.

Portanto, se você é desenvolvedor de aplicativos, uma vez que pode comprar os dispositivos, em teoria, pode baixar as ferramentas gratuitas de desenvolvedor, escrever os aplicativos, testá-los e implantar (ambiente corporativo ou região não suportada pelo Google) sem precisar interagir com Google em uma capacidade oficial.

Os aplicativos de distribuição de terceiros incluem a App Store da Amazon, o Fortnite da Epic Games e o F-Droid (aplicativos de código aberto).

Com o Android 8.0, as permissões de instalação de granulação fina foram adicionadas para que o usuário final agora possa bloquear aplicativos autorizados anteriores sem bloquear outros:

https://developer.android.com/studio/publish/#publishing-unknown

O Android fornece esse recurso há algum tempo. Eles não habilitam o recurso por padrão, porque ignora alguns dos princípios de segurança do sistema operacional.

Quando você está instalando a partir da Google Play Store, não precisa desse recurso ativado. A Google Play Store fará várias outras verificações de segurança nos aplicativos APK e garantirá que não haja brechas de segurança flagrantes.

Um caso disso é quando você está fazendo backup de aplicativos no seu dispositivo. Você pode criar backups de seus aplicativos para armazenamento offline. Em seguida, você pode instalar diretamente desse arquivo .apk que você salvou mais tarde com esse recurso ativado. Ou, se você é um desenvolvedor, pode manter versões diferentes disponíveis para facilitar a instalação posteriormente ou manter outras versões desse software.

Normalmente, não é recomendável ativar apenas alguns desses recursos e apenas fazer o download de arquivos .apk encontrados na Web, pois eles podem não ser gentis. Mas existem sites de hospedagem de aplicativos por aí. A ativação desse recurso permite fazer o download a partir dessas fontes.

O FortNite foi um exemplo recente de um jogo lançado fora da Google Play Store e você precisava ativar esse recurso e ignorar a segurança. O principal motivo é o som; O Google recebe 30% dos lucros quando você usa seus serviços. Devido à popularidade do jogo, o Google decidiu fazer uma auditoria de segurança dos servidores para o jogo quando foi lançado e trouxe à tona várias brechas críticas de segurança em seu sistema que permitiriam instalações silenciosas de aplicativos terríveis, além de outros recursos. que estava ignorando. O que eu acho inteligente da parte do Google, porque, embora não estivesse no tribunal deles resolver o problema, os dedos estariam apontando o caminho.

Ser capaz de instalar através de plataformas adicionais, como o f-droid , onde existem várias partes de software livre. Geralmente, eles são de código aberto e sem anúncios, o que significa que você também pode contribuir com eles, se desejar.