PROsmart.BY » Новости » Google научит Android проверять аутентичность приложений без подключения к интернету

Google научит Android проверять аутентичность приложений без подключения к интернету

24.06.18
1 3 340

Инженеры Google меняют механизм проверки приложений для Android на аутентичность. В компании планируют модифицировать хедеры файлов APK таким образом, чтобы среди метаданных появилось новое поле, содержащее криптографическую подпись. Из-за этого незначительно увеличится максимально допустимый размер APK. Никаких действий со стороны разработчиков не потребуется, новое поле Play Store будет заполнять автоматически.

В настоящее время установить «одобренные» Google приложения, прошедшие все надлежащие проверки, можно лишь через официальный Play Store, который в фоновом режиме, перед установкой убедится в подлинности и безопасности продукта. С добавлением нового поля в хедеры APK, подпись будет содержаться в самом файле, что позволит пользователям загружать приложения из Play Store и распространять их по другим каналам, но не изменять в процессе.

В блоге компании Джеймс Бендер (James Bender), продакт-менеджер Google Play Store, объясняет, что данное решение продиктовано желанием улучшить комфорт и безопасность пользователей, при этом дав разработчикам возможность донести свои решения до более широкой аудитории. Так, нововведение должно прийтись по душе пользователям из развивающихся стран, где распространение приложений посредством P2P уже давно стало нормой (в силу высокой стоимости трафика или ряда других ограничений). «В будущем мы сможем определять аутентичность приложений даже в том случае, если устройство находится в оффлайне», — пишет Бендер.

Стоит отметить, что специалисты по информационной безопасности уже выразили сомнения в рациональности данного шага. Дело в том, что это нововведение в теории может продлить «срок жизни» вредоносных приложений. Так, малвари будет достаточно попасть в Play Store хотя бы на короткое время, после чего она будет фигурировать в базах как легитимное и проверенное решение. И даже после удаления вредоноса из официального каталога, пользователи, которые нечасто выходят в оффлайн, могут установить себе такую малварь, взятую из каких-либо других источников, но при этом система будет уверена, что приложение аутентичное и не представляет угрозы.

Источник: http://www.comss.info
Комментарии (1)
Добавить комментарий
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
  1. Dymonyxx
    #1 Dymonyxx Администратор 24 июня 2018 17:14
    По моему не до конца продуманный ход если это все серьезно конечно.
    Xiaomi 13T PRO 12/512, MTK Dimensity 9200+ / Poco F4 8/256 Qualcomm Snapdragon 870
    -------------------------------------------------------------------------------
    Над сайтом работает Олег (li4nost), я - Дмитрий (Dymonyxx) и Андрей (0x7d). Если вы хотите поучаствовать в проекте, мы будем рады новым участникам и любой помощи.
    Наш Telegram / Наш ВК
    ------------------------------------------------------
Войти через: