Uso Android Play Store per scaricare e aggiornare il software per il mio telefono. E alcune volte è automaticamente aggiornato come da impostazioni.Il Play Store è collegato a uno dei miei account Gmail. Qui la mia domanda è: come posso fidarmi del fatto che sto comunicando in modo sicuro per scaricare e aggiornare il software del mio telefono e anche assicurarmi che il software scaricato usando il mio account sia affidabile e sicuro al 100%?
Il Play Store utilizza SSL / TLS per garantire l'integrità dei download, proprio come il tuo browser web. Fondamentalmente scarica i metadati per un particolare pacchetto che include un semplice URL HTTP e un checksum del binario. Dopo il download confronta il checksum con l'APK e garantisce che corrispondano.
how can trust that I'm securely communicating to download and upgrade the software
Questo ti dà una ragionevole certezza che il download non è stato compromesso durante il processo di comunicazione, tuttavia se il TLS può essere compromesso, la richiesta di metadati contenente l'URL di download e il checksum può essere manomessa.
Comprendere TLS non sarebbe banale per la maggior parte degli avversari, tuttavia TLS dipende dall'integrità dei 150 certificati CA root installati sul dispositivo. Molti di questi certificati CA affidabili sono controllati da dipartimenti di vari governi, inclusi Stati Uniti e Cina. Se il tuo avversario ha le risorse di uno stato nazionale, allora c'è una buona possibilità che possano compromettere i tuoi download.
Esiste anche la possibilità per un utente malintenzionato di indurre l'utente a installare un certificato CA dannoso tramite tecniche di social engineering come il phishing. Tuttavia, Android ha difese ragionevoli contro questo, incluso un avviso nella barra di notifica ogni volta che vengono installati certificati CA aggiuntivi.
Un altro livello di difesa è che alcune autorizzazioni possono essere utilizzate solo dagli APK firmati dallo stesso certificato del sistema. Ciò fornisce una protezione aggiuntiva per le app di sistema come l'app Impostazioni.
assure that the software downloaded using my account is 100% trusted and safety ?
Quello che ho menzionato sopra garantisce che il download sia ciò che volevi scaricare. Non garantisce che ciò che hai intenzione di scaricare sia affidabile o sicuro. Google esegue alcune scansioni automatiche degli invii per funzionalità dannose (essi chiamano questo sistema "Bouncer"), tuttavia considererei solo una prima linea di difesa.
In generale, devi applicare la stessa discrezione alle app come faresti con il software per PC.
Etc, ecc.
Nota: la mia risposta è applicabile ad Android 4.4.4 e Play Store 4.9.13, tuttavia probabilmente si applica anche alle versioni più recenti.