Quali sono le probabilità che una terza parte possa apportare modifiche alle app su Google Play che ho installato, in modo che quando il prossimo aggiornamento venga compromesso?
Quali sono le probabilità che una terza parte possa apportare modifiche alle app su Google Play che ho installato, in modo che quando il prossimo aggiornamento venga compromesso?
Questa è una domanda difficile a cui rispondere. Se le forze dell'ordine fossero a conoscenza di una vulnerabilità che consentirebbe loro di sostituire le app in Google Play, potrebbero utilizzarle (con vari gradi di legalità). Forse potrebbero ottenere un'ingiunzione del tribunale che impone a Google Play di consentire loro di aggiornare le app di altre persone (ma sospetto che Google possa contrastarlo nel modo migliore possibile). Le forze dell'ordine potrebbero anche pagare allo sviluppatore dell'app per includere modifiche specifiche. Probabilmente non c'è modo di essere certi.
Ma questo problema non è specifico per Google Play, Android o dispositivi mobili. Sappiamo che la NSA ha intercettato le spedizioni hardware per manomettere l'hardware.
Se sei negli Stati Uniti, mi sembra improbabile che tu possa essere preso di mira dalle forze dell'ordine tramite un attacco come questo, a meno che tu non sia sospettato di essere coinvolto in minacce alla sicurezza nazionale. Ma è solo una supposizione. Non possiamo davvero saperlo. Tutto ciò che sappiamo è che nulla è stato reso pubblico che indica che le forze dell'ordine hanno fatto questo per minacce alla sicurezza non nazionali.
Dal punto di vista di un utente malintenzionato che desidera aggiornare l'app su Google Play Store senza la conoscenza dello sviluppatore (o piegando il braccio di Google per accettare l'app dannosa, per questo):
Un ostacolo sta diventando vittima dei dispositivi Android per accettare l'aggiornamento come aggiornamento, anziché come un'app completamente nuova.
App upgrade: When the system is installing an update to an app, it compares the certificate(s) in the new version with those in the existing version. The system allows the update if the certificates match. If you sign the new version with a different certificate, you must assign a different package name to the application—in this case, the user installs the new version as a completely new application.
Fonte: link
Anche se l'utente malintenzionato può caricare il suo .apk dannoso nel Google Play Store, dovrà essere in grado di firmarlo con la chiave privata dello sviluppatore. Ottenere una sospensione di questa chiave privata varierà in difficoltà da sviluppatore a sviluppatore, quindi è difficile valutare le possibilità che ciò accada.
Leggi altre domande sui tag cloud-computing