Perché la distribuzione tramite Google Play è più sicura della distribuzione degli APK?

Una delle migliori pratiche di sicurezza è mantenere il software aggiornato. Con Google Play Store, puoi impostare le app installate per l'aggiornamento automatico (se non è già impostato per impostazione predefinita).

Per mantenere aggiornate le app scaricate manualmente, è necessario scaricare gli APK ogni volta che i loro sviluppatori pubblicano una nuova versione. Per fare ciò, probabilmente dovresti iscriverti a una newsletter o feed RSS e controllare regolarmente il tuo lettore di email / RSS per gli aggiornamenti. Questa potrebbe essere una configurazione accettabile per un paio di app, ma questo diventerà problematico con l'aumentare del numero delle tue app. Per non parlare, probabilmente dovrai controllare le firme / i checksum delle app uno per uno per verificarne l'integrità.

Quando utilizzi Google Play per distribuire la tua app, dichiari di rispettare le norme sui contenuti di Google , il che significa che l'app è più sicura per gli utenti finali in molti modi, tra cui alcune restrizioni di sicurezza . Gli utenti finali sanno che Google controlla tutte le app caricate sul Play Store e rimuove metodicamente quelle che non seguono le regole , o semplicemente comportarsi male.

Sul Play Store, gli utenti possono controllare in modo affidabile le autorizzazioni che l'app sta per richiedere e visualizzare i reclami di altri utenti, non filtrati dal PR.

Per utilizzare il tuo canale di distribuzione indipendente, è necessario attivare e disattivare "Abilita fonti sconosciute" che si trova nella sezione "Impostazioni di sicurezza". È pericoloso lasciare abilitato questo interruttore, perché alcuni malware utilizzano anche questo canale di distribuzione.

Il programma di miglioramento della sicurezza delle app può aiutare anche uno sviluppatore indipendente a evitare alcuni rischi, ad es. avviserà lo sviluppatore se viene rilevata una libreria deprecata o un'implementazione non sicura.

È importante capire, tuttavia, che l'utilizzo di Play Store non rende la tua app meno vulnerabile per la pirateria, può comunque essere rubata, decodificata e persino caricata nello stesso Play Store da una parte malintenzionata con un nome diverso .

UPDATE : qui ci sono alcune restrizioni di sicurezza imposte dalle norme per gli sviluppatori di Google Play:

The following are explicitly prohibited:

• Viruses, trojan horses, malware, spyware or any other malicious software.
• Apps that link to or facilitate the distribution or installation of malicious software.
• Apps or SDKs that download executable code, such as dex files or native code, from a source other than Google Play.
• Apps that introduce or exploit security vulnerabilities.
• Apps that steal a user’s authentication information (such as usernames or passwords) or that mimic other apps or websites to trick users into disclosing personal or authentication information.
• Apps that install other apps on a device without the user’s prior consent.
• Apps designed to secretly collect device usage, such as commercial spyware apps.

Innanzitutto, pubblicare un APK sul tuo sito web incoraggia pratiche di cattiva sicurezza da parte dell'utente. A mio parere, dovresti incoraggiare l'utente medio a fidarsi solo del Google Play Store per i seguenti motivi:

• Il download di APK da un sito Web richiede all'utente di confermare il la fonte è sicura e legittima o verifica l'APK per assicurarti che sia sicuro. In pratica, molti utenti fanno affidamento su Google Play Protect per rilevare app dannose e rischiare di essere infettati con trojan come Googlian o questo fake Google Chrome
• Non utilizzare Google Play Store rende più difficile mantenere le app aggiornato. Se viene rilevato un errore di sicurezza nel codice o condiviso la biblioteca ha bisogno di una patch di sicurezza, come hai intenzione di assicurarti tutto gli utenti sanno dell'aggiornamento? App a caricamento laterale non aggiornare nel Play Store . Fornire una notifica all'utente e soprattutto forzarlo ad aggiornare non è semplice sia .
• Il caricamento laterale o l'installazione di app da fonti diverse da Google Play richiedono la modifica delle impostazioni di sicurezza per abilitare il caricamento laterale. Ciò consente agli utenti di accidentalmente caricare il malware se non stanno attento, anche attraverso altri canali come malvertising . In Android Oreo questa autorizzazione è poco più complessa , ma puoi comunque aprire gli utenti al caricamento laterale attraverso il malvertising.

In secondo luogo, il tuo sito web è presumibilmente meno sicuro rispetto all'app store di Google. Se un utente malintenzionato compromette il tuo sito Web (o reindirizza gli utenti ai loro server utilizzando un attacco di avvelenamento MITM o DNS), potrebbe indurre gli utenti a installare una versione compromessa dell'APK. Pubblicare l'hash dell'APK o la firma dello sviluppatore non sarà d'aiuto in quanto potrebbero modificare anche quella parte del sito Web ( offrono una protezione di sicurezza molto limitata e le firme sono principalmente per autenticazione di sviluppatore e non ripudio ). A seconda della sicurezza del tuo sito web, questa potrebbe non essere una minaccia ampia e realistica. In genere, i siti compromessi invece non incoraggiano in modo così sottile lo scaricamento di applicazioni di malware generiche sotto l'aspetto di Adobe Flash, un aggiornamento del browser, ecc. (Come questo esempio ).

In terzo luogo, il tuo sito Web potrebbe essere sottoposto a phishing o spoofing. Gli hacker sono noti per creare siti Web bancari che sembrano legittimi, postare collegamenti a loro o ottimizzarli SEO e installare app fraudolente con malware sul sito falsificato ( source ). Questo va d'accordo con il mio precedente punto che dovresti incoraggiare il tuo utente medio a fidarsi solo dello store di Google Play.

Nota: mi sono concentrato intenzionalmente sui problemi di sicurezza in gioco qui, piuttosto che sui significativi problemi di usabilità e convenienza.

Sicurezza e molti altri motivi, come hanno detto le persone nei commenti, ma non dimenticare il vero potere di Google Play:

Penso che il motivo principale sia su Google Play: puoi colpire molte più persone. È un modo facile e veloce per raggiungere più utenti cercando di rendere la tua app più conosciuta.