Quando ho pensato a quale soluzione di messaggistica utilizzare sul mio nuovo telefono "intelligente" ho riflettuto su prodotti open source, immaginando di potermi fidare di più per fornire effettivamente la sicurezza che promettono.
Ora che ho deciso quale utilizzare e installare l'app da un app store, mi sono chiesto: anche se avessi controllato il codice sorgente (ammetto che ho appena assunto che qualcuno ha fatto), come potevo sapere che è quello che ho installato?
Vedo almeno due potenziali vettori di attacco:
- Il fornitore di app può inviare codice diverso da quello che pubblica (ad esempio tramite Github).
- Il proprietario del negozio di app (ad esempio Google, Apple, ...) può modificare il codice spedito.
Ritengo che solo una o due linee in più (o mancanti) possano rendere anche l'impostazione più solida completamente aperta per attaccare senza che l'utente sia più saggio.
Quindi, esiste un modo (preferibilmente automatizzato) per verificare che il apk
scaricato dall'app store corrisponda al codice che posso vedere altrove?