È possibile rilevare eventuali manomissioni di Google Play Store?

3

Ho letto questa pagina degli sviluppatori Android relativa alla firma del codice che afferma:

You can use self-signed certificates to sign your applications. No certificate authority is needed.

Ho anche letto le risposte a " Come si può rilevare se Apple / Google / etc ha modificato un'applicazione di terzi distribuita tramite i loro App Store? "

La mia domanda è: se Google è costretto a manomettere una particolare app Android sul Play Store (ad esempio TextSecure) per comprometterlo, è possibile qualsiasi difesa contro la manomissione mirata a particolari individui?

Scenario di esempio: le persone di interesse utilizzano TextSecure sui loro telefoni Android per comunicare. Un governo costringe Google a spingere le versioni modificate di TextSecure in questi telefoni per compromettere le comunicazioni.

Posso pensare a una soluzione rotonda: utilizzando un fork del sistema operativo Android che non è aggiornato da Google, installa un'app non Play Store che controlla costantemente la validità dell'installazione esistente di TextSecure (magari usando qualcosa di semplice come valori hash).

Ci sono altre possibilità? (Ad esempio, se un'app è firmata con un certificato CA convalidato, verrebbe controllata in fase di esecuzione?)

    
posta scuzzy-delta 04.04.2014 - 15:41
fonte

1 risposta

3

Dovresti controllare manualmente che la firma provenga dallo sviluppatore dell'applicazione. Google non dovrebbe avere la chiave privata con cui è stata firmata la versione ufficiale. Google tuttavia potrebbe facilmente fare la propria firma in quanto sono l'autorità di firma per il Play Store, tuttavia la nuova firma non corrisponderebbe al certificato per l'applicazione ufficiale a meno che Google non abbia in qualche modo la chiave privata utilizzata dall'autore dell'applicazione per firmare il funzionario versione.

    
risposta data 04.04.2014 - 15:48
fonte

Leggi altre domande sui tag