Come si può rilevare se Apple / Google / etc. ha modificato un'applicazione di terzi distribuita tramite i loro App Store?

Naviga le tue risposte
6

Esistono metodi realistici per verificare che Apple o chiunque non abbia manomesso un'applicazione di terzi distribuita tramite il loro App Store?

Potresti per esempio avere un'applicazione open source con sviluppatori situati in più giurisdizioni che cooperano pubblicando SHA per ogni versione distribuita dagli operatori di App Store.

Qualcuno sta facendo questo per qualsiasi client ssh, client off-the-record, ecc. distribuiti attraverso App Store?

Esistono App Store per i quali questo è noto essere impossibile, cioè spesso modificano la fonte senza rivelare le modifiche all'autore originale?

Esistono ovviamente programmi a sorgente chiuso come Covert Browser per i quali non è possibile effettuare la verifica tranne che per gli autori.

    
posta Jeff Burdges 04.12.2011 - 22:56
fonte

3 risposte

5

Lo sviluppatore dell'applicazione può controllare, se lo desidera, semplicemente scaricando e installando l'applicazione da sé e confermando che ciò che ottiene corrisponde a ciò che ha caricato.

Gli utenti occasionali dei mercati non possono verificare da soli che le applicazioni scaricate non siano state modificate dal mercato delle app. Ma possiamo probabilmente contare sul fatto che gli sviluppatori si lamentino pubblicamente se rilevano questo tipo di comportamento scorretto con la loro app. Il fatto che non abbiamo visto lamentele pubbliche di questo tipo suggerisce che probabilmente è inesistente o relativamente raro; è difficile immaginare che Google o Apple stiano facendo questo su larga scala, perché sarebbe troppo facile per qualcuno rilevarlo e diffondere le notizie.

Si noti che, nei principali mercati delle app (come Android Market e iPhone App Store) la connessione tra il mercato delle app e il telefono dell'utente è protetta tramite SSL, quindi gli intercettatori e gli uomini in mezzo non possono modificare l'applicazione mentre è in transito. Quindi è proprio Google e Apple che dobbiamo fidarci.

Quindi, nel grande schema delle cose, probabilmente non vale la pena preoccuparsi di questa minaccia. Google e Apple hanno molti incentivi a non manomettere le app che vengono offerte tramite il loro negozio. Dovresti preoccuparti di più della minaccia di app canaglia, squallide o sgradevoli create dallo sviluppatore in questo modo.

    
risposta data 05.12.2011 - 01:30
fonte
1

Are there any realistic methods for verifying that Apple or whoever has not tampered with third party application distributed through their App Store?

Non so nulla dell'Apple Store e dei suoi meccanismi, o dell'archivio di Windows o di quello che viene chiamato Ubuntu, ma non è questo il caso della firma del codice?

Se Apple / Google / NextBigCompany non sono riusciti a trovare una collisione hash utilizzabile e la tua chiave privata è ragionevolmente ben protetta, ciò dovrebbe consentire una distribuzione sicura. Dopotutto, questo è l'intero punto dello schema di autenticazione.

Come sottolinea Thomas, non vi è alcuna garanzia che l'azienda non possa modificare il file binario una volta caricato in memoria. Infatti, nel caso del sistema operativo Windows, in realtà lo fanno deliberatamente (per rendere il vostro lavoro binario, non fatevi prendere dal panico, non è cattivo, vedere le correzioni IAT). Ma devi decidere di fidarti di loro ad un certo punto.

Se Apple e altri non consentono app con firma del codice, dovrebbero farlo molto bene.

    
risposta data 09.02.2013 - 16:04
fonte
0

Se Apple è il cattivo della storia, non è necessario modificare l'app; possono modificare il sistema operativo che applicherà l'applicazione all'app in modo dinamico quando viene scaricata dallo store. In altre parole, Apple è tuo amico (o, più appropriatamente, il tuo dio) perché non hai altra scelta che fidarti di loro.

(Tranne se decidi di non utilizzare alcun prodotto Apple, ovviamente. Hai ancora questa possibilità.)

    
risposta data 09.02.2013 - 15:58
fonte

Leggi altre domande sui tag

È consigliabile avere un browser Web per ricordare le credenziali di accesso? Problemi di sicurezza relativi a chiavi pubbliche e SSH