¿Por qué habilitaría "Instalar aplicaciones desconocidas"?

11

Tengo un LG G7 Thin Q con Oreo. Mientras hurgaba en la configuración, me encontré con "Instalar aplicaciones desconocidas". Configuración -> Aplicaciones y notificaciones -> Acceso especial -> Instalar aplicaciones desconocidas Captura de pantalla de la configuración Instalar aplicaciones desconocidas

Es una lista de programas que pueden instalar aplicaciones desconocidas. Solo la mensajería y el correo electrónico pueden instalar aplicaciones desconocidas.

¿Por qué Android tiene la opción de que las aplicaciones instalen aplicaciones desconocidas? Parece bastante vulnerable al malware.

Bruce Dimon
fuente

Respuestas:

7

Al iniciar Android Oreo, la carga lateral (instalación de una aplicación desde una fuente que no sea Play Store) se ha vuelto más segura.

Anteriormente (Naugat o inferior), cuando solía marcar la opción "Fuentes desconocidas", en realidad permitía universalmente todas las fuentes apk (Chrome, Amazon Appstore, etc.). Significa que al sistema no le importaba la fuente del archivo apk.

Ahora, debe permitir aplicaciones individuales que se pueden configurar como fuente. Y no se preocupe: esa aplicación permitida no podrá instalar aplicaciones en segundo plano. Aún deberá presionar el botón Instalar para instalar una aplicación. Por lo tanto, no hay compromisos de seguridad aquí. Simplemente tendrá tranquilidad mientras presiona el botón Instalar. Si solo ha permitido Amazon Appstore, puede estar seguro de que no instalará un apk malicioso que una aplicación de anunciante descargó en segundo plano.

Android Quesito
fuente
Eso en realidad no es cierto. Incluso el error actual utilizado para un ejemplo a continuación en mi publicación sobre Fortnite estaba haciendo exactamente eso. Si le otorgó permisos para instalar Fortnite con la opción "permitir fuentes desconocidas" e instaló Fortnite, le dio a otras aplicaciones la capacidad de instalar aplicaciones sin su permiso en segundo plano con el error que estaba en la aplicación.
Jay Snayder
El ataque de @JaySnayder Man-in-the-Disk es un escenario completamente diferente. En caso de que haya instalado Fortnite, primero debe instalar una aplicación auxiliar. Esta aplicación auxiliar descarga el archivo apk y luego instala el archivo apk presionando el botón de instalación. Bug simplemente permitió que una aplicación maliciosa reemplazara el archivo apk que la aplicación auxiliar descargó.
Android Quesito
Una vez que el ayudante ha ingresado al sistema, puede instalar aplicaciones silenciosamente en su dispositivo sin solicitudes de permiso del usuario una vez que se activa esa casilla.
Jay Snayder
@ JaySnayder Ese no es el comportamiento estándar de Oreo. En dispositivos Samsung, el instalador de Fortnite realiza la instalación de APK de forma silenciosa a través de una API privada de Galaxy Apps.
Android Quesito
4

Android desde el principio representó una "plataforma abierta", y ayuda a obtener un poco de contexto.

En el momento de su lanzamiento, la plataforma móvil era relativamente única con una cadena de herramientas para desarrolladores que funcionaba en Windows, Mac y Linux. Todos los dispositivos se pueden poner en 'modo de desarrollador' sin la necesidad de registrar el dispositivo con un servidor de autorización central (consulte iOS de Apple y luego Windows Phone de Microsoft).

La distribución de aplicaciones en teléfonos que no son teléfonos inteligentes normalmente se realizaba por operador y parte de ese comportamiento persistió hasta 2011 con AT&T eliminando "fuentes desconocidas" de sus teléfonos:

https://forums.att.com/t5/Android/quot-Unknown-Sources-quot/td-p/2814557

y los operadores continúan agrupando sus propias aplicaciones en dispositivos vendidos en su red, es decir, bloatware.

La documentación oficial del desarrollador menciona la distribución alternativa:

https://developer.android.com/distribute/marketing-tools/alternative-distribution

Como plataforma abierta, Android ofrece opciones. Puede distribuir sus aplicaciones de Android a los usuarios de la forma que desee, utilizando cualquier enfoque de distribución o combinación de enfoques que satisfaga sus necesidades. Desde publicar en un mercado de aplicaciones hasta servir sus aplicaciones desde un sitio web o enviarles correos electrónicos directamente a los usuarios, nunca está bloqueado en ninguna plataforma de distribución en particular.

Entonces, si usted es un desarrollador de aplicaciones, una vez que pueda pagar los dispositivos, en teoría podría descargar las herramientas de desarrollador gratuitas, escribir las aplicaciones, probarlas e implementar (entorno corporativo o una región no compatible con Google) sin tener que interactuar con Google en una capacidad oficial.

Las aplicaciones de distribución de terceros incluyen la tienda de aplicaciones de Amazon, Fortnite de Epic Games y F-Droid (aplicaciones de código abierto).

Con Android 8.0 se agregaron permisos de instalación de grano fino para que el usuario final ahora tenga la capacidad de bloquear aplicaciones autorizadas previamente sin bloquear otras:

https://developer.android.com/studio/publish/#publishing-unknown

Morrison Chang
fuente
3

Android ha estado proporcionando esta característica durante bastante tiempo. No habilitan la función de manera predeterminada porque omite algunos de los principios de seguridad del sistema operativo.

Cuando realiza la instalación desde Google Play Store, no necesita esta función habilitada. Google Play Store realizará varias otras verificaciones de seguridad sobre las aplicaciones APK y se asegurará de que no haya agujeros de seguridad evidentes.

Un caso para esto es cuando está haciendo una copia de seguridad de las aplicaciones en su dispositivo. Puede crear copias de seguridad de sus aplicaciones para el almacenamiento sin conexión. Luego puede instalar directamente desde ese archivo .apk que guardó más tarde con esto habilitado. O si usted es un desarrollador, puede mantener diferentes versiones disponibles para una fácil instalación posterior o para mantener otras versiones de ese software.

Por lo general, no se recomienda activar algunas de estas funciones y simplemente descargar los archivos .apk que se encuentran en la web, ya que podrían no ser amables. Pero hay sitios de alojamiento para aplicaciones por ahí. Al activar esta función, puede descargar desde esas fuentes.

FortNite fue un ejemplo reciente de un juego que se lanzó fuera de Google Play Store y necesitabas activar esta función y evitar la seguridad. La razón principal es el sonido; Google toma el 30% de las ganancias cuando utiliza sus servicios. Debido a la popularidad del juego, Google decidió hacer una auditoría de seguridad de los servidores para el juego cuando se lanzó y sacó a la luz varias lagunas de seguridad críticas en su sistema que permitirían la instalación silenciosa de aplicaciones terribles, así como algunas otras características que estaba pasando por alto. Lo que creo que fue inteligente por parte de Google porque, aunque no hubiera estado en su corte resolver el problema, los dedos habrían señalado su camino.

Jay Snayder
fuente
Google NO toma el 30% solo por usar Play Store. Alojar una aplicación en Play Store no significa que tenga que usar el procesador de pagos de Google (que toma el 30%). Fortnite podría alojar la aplicación en Play Store y aún así evitar el 30% de cargo utilizando PayPal o su propio procesador de pagos.
Android Quesito
Interesante que no siguieron esta ruta entonces. Aunque supongo que esas otras opciones probablemente también se reducirán y quieren evitarlas por completo.
Jay Snayder
La razón es principalmente política. Sugerencia: Asociación entre Samsung y Fortnite.
Android Quesito
2

Para poder instalar a través de plataformas adicionales como f-droid , donde hay una serie de piezas de software libre. Por lo general, son de código abierto y sin publicidad, lo que significa que también puede contribuir a ellos si así lo desea.

Andy
fuente