¿Puede haber aplicaciones maliciosas en Google Play?

28

¿Debo preocuparme por las aplicaciones maliciosas en Google Play, o puedo confiar en todo lo que instalo, siempre que lo instale desde Google Play?

Y si tengo que preocuparme, ¿qué señales de alerta debo buscar: número de descargas, clasificaciones, antigüedad de la aplicación, qué permisos requiere?

En un nivel práctico, ¿diría que es tan seguro como la App Store de Apple?

applications google-play-store security malware sashoalm
fuente
66
Larga historia corta: ningún servicio de distribución de software es 100% seguro. Cada aplicación debe evaluarse individualmente.
dotVezz
44
Ver también: ¿Audita Google todas las aplicaciones que ingresan al mercado? y ¿Son seguras las aplicaciones? ¿Cómo puedo hacer que mi Android sea más seguro?
ale
@dotVezz Gracias. ¿Entonces Android es tan seguro como la App Store de Apple? He tenido un iPad, recientemente compré un Xperia S, y me preguntaba.
sashoalm
Como dijo Izzy, "No comparamos manzanas con duraznos" (o algo así). Es probable que Play Store tenga más aplicaciones maliciosas que App Store en cualquier momento. Pero eso no hace que sea más peligroso que el otro. La mera presencia de una aplicación maliciosa no socava la seguridad de un sistema de distribución. Al final, usted es responsable de investigar todo lo que instale en su dispositivo.
dotVezz
3
@dotVezz es técnicamente correcto, pero esta es una buena pregunta porque es útil tener una idea de su exposición al riesgo. Por ejemplo, es más seguro instalar una aplicación desde Play Store que algunas aplicaciones aleatorias .apkque encontró en las interwebs. Esta pregunta podría ayudar a las personas a comprender cuánto más seguro.
Reid

Respuestas:

34

No comparamos manzanas con duraznos. Pero siempre es una buena idea tener cuidado con lo que instala. Es cierto que Google Play debe considerarse una de las fuentes más seguras para las aplicaciones de Android. Aún así, algunos malware se escabullen de vez en cuando. Por lo tanto, debe usar algo de sentido común antes de presionar el botón "Instalar".

Las cosas a tener en cuenta incluyen (pero pueden no estar restringidas a):

  • ¿Qué permisos se requieren?
    Aunque no siempre es fácil decidir, hay algunas cosas que pueden contar como indicadores, por ejemplo, tomar una aplicación de calculadora simple, ciertamente no necesita acceso a sus contactos, calendarios, configuraciones del sistema, etc.
  • ¿Cómo se califica?
    No estoy hablando de "números desnudos", pero revisa los comentarios. Pueden darle pistas útiles sobre si es seguro instalarlo. Además, una aplicación instalada varias miles de veces sin rastros de malicia en los comentarios debería ser considerablemente más segura que una aplicación que casi no tiene instalaciones ni comentarios.
  • ¿Debería ser una aplicación muy popular, pero solo tiene pocas instalaciones?
    En la mayoría de los casos, ese es un indicador claro de malware, escondido detrás de un nombre popular. Mejor mantén tus manos lejos de esos.

Aparte de eso: en caso de que aún no estés seguro, elige un buen foro y pregunta. Otra buena idea es verificar otras aplicaciones del mismo desarrollador (solo siga el enlace de su nombre) y use los criterios anteriores en ellas.

Izzy
fuente
2
Tenemos algunos buenos "¿Es esta aplicación malware?" preguntas sobre ASE ya. Creo que podemos alentar razonablemente más preguntas como esa, en lugar de señalar a los usuarios a otros sitios.
Dan Hulme
Gracias por la pista, @DanHulme: no estaba seguro de alentar eso. ¿Actualizaré mi respuesta en consecuencia (neutralizando)? (si es así, podríamos eliminar nuestros comentarios;)
Izzy
3
Su tercer punto es tan excelente que no podría recomendar esta respuesta lo suficiente. La Play Store está plagada de clones no oficiales de diferentes niveles de inseguridad y se debe hacer todo lo posible para evitarlos.
dotVezz
Otro consejo importante: si la aplicación tiene muchas reseñas de 5 estrellas, léalas y vea si son críticas legítimas. En la actualidad, es muy fácil obtener reseñas de granjas, y muchas aplicaciones falsas hacen esto para obtener una clasificación alta en Play Store.
Munim
1
@Munim igual se aplica a los comentarios de baja calificación. Además de los falsificados ("comprados por competencia") también hay otros estúpidos (en los que los usuarios no entendieron para qué era la aplicación o tuvieron problemas para descargar desde Google Play que no tienen nada que ver con la aplicación). Esto fue a lo que me referí con mi segundo punto: verifique los comentarios (nota: verificar, no contar ;)
Izzy
12

Es posible que haya aplicaciones maliciosas en Google Play. Sin embargo, hay varias cosas que puede hacer para protegerse:

  1. Verifique los permisos que solicita una aplicación durante la instalación. Si parece excesivo para lo que hace la aplicación, puede enviar un correo electrónico al desarrollador y preguntar por qué necesitan los permisos que solicitan. La mayoría de los desarrolladores deberían estar felices de hacer esto, aunque puede tomar un tiempo obtener una respuesta.
  2. Mira la cantidad de descargas y comentarios. Si no tiene muchas descargas, sea más cauteloso. Sin embargo, no significa que la aplicación sea maliciosa, solo que necesita verificar más usted mismo. Si tiene muchas críticas de 1-2 estrellas, entonces probablemente también me mantendría alejado.
  3. Si es una aplicación popular (como Need For Speed, Riptide GP, etc.) que normalmente es una aplicación paga, pero encuentra una versión gratuita, tenga mucho cuidado. Una táctica común de los autores de malware es hacerse pasar por aplicaciones populares, pero en realidad instalan malware en su dispositivo.

Esencialmente tienes que usar el sentido común. En caso de duda, no instale la aplicación. Google tiene un sistema llamado Bouncer que escanea todas las aplicaciones cargadas en Play Store, lo que ha reducido la cantidad de aplicaciones maliciosas, pero no está 100% garantizado.

bmdixon
fuente
1
Me encanta el tercer punto, pero creo que los ejemplos utilizados son un poco engañosos. Es importante tener en cuenta que Angry Birds en realidad es oficialmente gratuito en Play Store. Sin mencionar que PvZ2 ha adoptado el modelo free-to-play.
dotVezz
1
Buen punto. He reemplazado los ejemplos con aplicaciones que normalmente no son gratuitas.
bmdixon
@bmdixon Además, puede verificar el nombre del proveedor, para ver si es el mismo que el nombre del proveedor de la aplicación oficial.
sashoalm
6

Cualquier persona que tenga experiencia en la programación y el trabajo en aplicaciones de Android e iOS puede decirle que ciertamente hay aplicaciones maliciosas en Play Store. Aquí está el trato:

Para publicar su aplicación en la tienda de aplicaciones de Apple, debe enviarla a Apple para su revisión. Ah, y también tienes que pagarles $ 99 por año y saltar a través de otros aros. De cualquier manera, Apple revisa el código de su aplicación línea por línea (o al menos eso es lo que dicen) y verifica que no haya código malicioso. Como muchos desarrolladores pueden decirle, no es difícil que una aplicación sea rechazada y no es tan raro tener que volver a enviarla. El resultado final es que la App Store de Apple es lo más segura posible. No es perfecto, pero en cuanto a seguridad no es mucho más seguro.

Ahora, si desarrollo una aplicación para Android, básicamente puedo subirla a Play Store. Necesitaré crear una cuenta de desarrollador, pero eso es todo lo que tengo que hacer. Si mi aplicación contiene virus o malware conocidos, Google eventualmente la detectará y la eliminará de la tienda de aplicaciones.

Lo importante que debe tener en cuenta sobre Android es que realmente está más cerca de Windows, ya que puede perder el tiempo fácilmente y descargar una aplicación o aplicaciones que pueden robar su información personal, ralentizar su sistema debido a un diseño o anuncios deficientes, y cualquier Un número de otras cosas. Mi mejor consejo es prestar mucha atención a los permisos de las aplicaciones y, en caso de duda, no instalarlo. Además, incluso si normalmente no lee las reseñas en dispositivos iOS, le recomendaría que al menos eche un vistazo a las revisiones de cualquier aplicación de Android menos conocida que esté considerando instalar. Puede averiguar con bastante rapidez si la aplicación ha estado causando problemas a otros usuarios con sus dispositivos.

Por esta razón, no recomendaría descargar indiscriminadamente todas las aplicaciones que se vean interesantes en Android. Realmente deberías ser lo suficientemente inteligente como para prestar atención y protegerte. Además de la programación, también he trabajado durante algunos años en la industria móvil y puedo decir que odiaba ver a los usuarios mayores obtener Androids porque terminarían con tanta basura en su teléfono y luego me pregunto por qué no funcionó de la manera que quisieron. Si eres tú, entonces quizás deberías ir con Apple. Si no te importa prestar atención a lo que estás haciendo, ¡Android te tratará muy bien! Espero que esto ayude.

Ruano
fuente
3
Sin embargo, ¿qué pasa con los permisos? Quería instalar una aplicación Sudoku, y la aplicación superior en Google Play requiere acceso a mi "Conexión de red", "Llamadas telefónicas" y "Herramientas del sistema", entre otras. Esta aplicación tiene 100.000 descargas, por lo que tiene que ser legítima, pero si las aplicaciones legítimas quieren estos permisos, ¿cómo puedo distinguir los virus?
sashoalm
3
Sin embargo, Apple no verifica el código fuente, consulte stackoverflow.com/a/3188649/492336 para obtener más detalles sobre cómo funciona su proceso de revisión.
sashoalm
44
Está bien. La respuesta de Roan contiene muchos errores: Apple no puede verificar el código fuente (cómo deberían hacerlo, solo debe cargar la aplicación binaria), también debe pagar una tarifa para obtener una cuenta de desarrollador de Android. Play Store tiene comprobaciones automáticas de malware que pueden ser una comprobación de seguridad tan grande como el proceso de Apple (las pruebas en humanos tendrán que centrarse en el aspecto y la sensación allí, ya que puede crear fácilmente una aplicación que se comporte normalmente durante la revisión ...).
Florian h
5

Es completamente posible que una aplicación maliciosa esté disponible a través de ella. Sin embargo, lo mismo puede decirse de cualquier otro sistema de distribución de software. La App Store tampoco es inmune a los desarrolladores furtivos.

Nunca suponga que ningún distribuidor de software ofrece software 100% seguro . Ya sea que esté utilizando Windows, OSX, iOS, Android, Linux, Unix, FreeBSD o cualquier sistema operativo, la única persona que debería ser responsable de su seguridad es usted mismo .

Al instalar el software, asegúrese de confiar en el proveedor y la aplicación en sí , independientemente de cuánto confíe en el proveedor . Si confías en Rovio, Angry Birds estará tan seguro en iOS como en Android, o en cualquier otra plataforma en la que esté disponible.

dotVezz
fuente
1
Este consejo es difícil de poner en práctica. ¿Cómo va a evaluar un .apk vacío dado ? El canal de distribución es parte de la evaluación de riesgos. Ignorarlo porque no da 100% de confianza es innecesariamente pedante y no muy útil.
Reid