Зачем мне включать «Установить неизвестные приложения»?

У меня есть LG G7 Thin Q с Oreo. Пока ковырялся в настройках, наткнулся на "Установить неизвестные приложения". Настройки -> Приложения и уведомления -> Специальный доступ -> Установить неизвестные приложенияСкриншот настроек «Установить неизвестные приложения»

Это список программ, которые могут устанавливать неизвестные приложения. Только сообщения и электронная почта могут устанавливать неизвестные приложения.

Почему Android позволяет приложениям устанавливать неизвестные приложения? Он кажется довольно уязвимым для вредоносных программ.

Ответы (4)

Начиная с Android Oreo, неопубликованная загрузка (установка приложения из источника, отличного от Play Store) фактически стала более безопасной.

Раньше (Naugat или ниже), когда вы использовали опцию «Неизвестные источники», фактически повсеместно разрешались все источники apk (Chrome, Amazon Appstore и т. д.). Значит, системе было наплевать на источник apk-файла.

Теперь вам нужно разрешить отдельные приложения, которые можно установить в качестве источника. И не беспокойтесь: это разрешенное приложение не сможет устанавливать приложения в фоновом режиме. Вам все равно нужно будет нажать кнопку «Установить», чтобы установить приложение. Таким образом, никаких компромиссов безопасности здесь нет. Вы просто будете спокойны, нажимая кнопку «Установить». Если вы разрешили только Amazon Appstore, вы можете быть уверены, что не будете устанавливать вредоносный apk, который был загружен в фоновом режиме приложением рекламодателя.

Это на самом деле не так. Даже текущая ошибка, использованная для примера ниже в моем посте о Fortnite, делала именно это. Если вы дали ему разрешение на установку Fortnite с помощью «разрешить неизвестные источники» и установили Fortnite, он затем дал другим приложениям возможность устанавливать приложения без вашего разрешения в фоновом режиме с ошибкой, которая была в приложении.
Атака @JaySnayder Man-in-the-Disk — это совершенно другой сценарий. Если вы установили Fortnite, вам сначала нужно установить вспомогательное приложение. Это вспомогательное приложение загружает apk-файл, а затем вы устанавливаете apk-файл, нажав кнопку «Установить». Ошибка просто позволяла вредоносному приложению заменить файл apk, загруженный вспомогательным приложением.
После того, как помощник нашел свой путь в систему, он может автоматически устанавливать приложения на ваше устройство без запросов на разрешение от пользователя, когда этот флажок установлен.
@JaySnayder Это не стандартное поведение Oreo. На устройствах Samsung установщик Fortnite автоматически устанавливает APK через частный API Galaxy Apps.

Android с самого начала представлял собой «открытую платформу», и это помогает получить немного контекста.

На момент выпуска мобильная платформа была относительно уникальной с набором инструментов разработчика, который работал на Windows, Mac и Linux. Каждое устройство можно было перевести в «режим разработчика» без необходимости регистрировать устройство на центральном сервере авторизации (см. iOS от Apple, а затем Windows Phone от Microsoft).

Распространение приложений на несмартфонах обычно осуществлялось для каждого оператора связи, и некоторые из этих действий сохранялись до 2011 года, когда AT&T удалила «неизвестные источники» со своих телефонов:

https://forums.att.com/t5/Android/quot-Unknown-Sources-quot/td-p/2814557

и операторы связи продолжают объединять свои собственные приложения на устройствах, продаваемых в их сети, т. е. вредоносные программы.

В официальной документации для разработчиков упоминается альтернативный дистрибутив:

https://developer.android.com/distribute/marketing-tools/альтернативное-распределение

Будучи открытой платформой, Android предлагает выбор. Вы можете распространять свои приложения для Android среди пользователей любым способом, используя любой подход к распространению или комбинацию подходов, которые соответствуют вашим потребностям. От публикации на рынке приложений до обслуживания ваших приложений с веб-сайта или отправки их по электронной почте напрямую пользователям — вы никогда не будете привязаны к какой-либо конкретной платформе распространения.

Таким образом, если вы являетесь разработчиком приложений, когда вы можете позволить себе устройства, вы теоретически можете загрузить бесплатные инструменты разработчика, написать приложения, протестировать их и развернуть (в корпоративной среде или регионе, не поддерживаемом Google), даже не взаимодействуя с Google в официальном качестве.

Сторонние приложения для распространения включают App Store от Amazon, Fortnite от Epic Games и F-Droid (приложения с открытым исходным кодом).

В Android 8.0 были добавлены подробные разрешения на установку, поэтому конечный пользователь теперь имеет возможность блокировать ранее авторизованные приложения, не блокируя другие:

https://developer.android.com/studio/publish/#publishing-unknown

Android предоставляет эту функцию уже довольно давно. Они не включают эту функцию по умолчанию, поскольку она обходит некоторые принципы безопасности операционной системы.

При установке из Google Play Store эта функция не требуется. Магазин Google Play выполнит различные другие проверки безопасности APK приложений и убедится, что в них нет явных дыр в безопасности.

Одним из таких случаев является резервное копирование приложений на вашем устройстве. Вы можете создавать резервные копии своих приложений для автономного хранения. Затем вы можете установить прямо из этого файла .apk, который вы сохранили позже, с включенной этой функцией. Или, если вы являетесь разработчиком, вы можете оставить разные версии доступными для легкой установки позже или сохранить другие версии этого программного обеспечения.

Как правило, не рекомендуется просто включать некоторые из этих функций и просто загружать файлы .apk, обнаруженные в Интернете, поскольку они могут быть неприятными. Но есть хостинги для приложений. Включение этой функции позволяет загружать из этих источников.

FortNite был недавним примером игры, выпущенной за пределами Google Play Store, и вам нужно было включить эту функцию и обойти систему безопасности. Основная причина — звук; Google берет 30% прибыли, когда вы пользуетесь их услугами. Из-за популярности игры Google решил провести аудит безопасности серверов для игры, когда она была запущена, и выявила несколько критических лазеек в системе безопасности, которые позволяли бы устанавливать ужасные приложения в фоновом режиме, а также некоторые другие функции. что это было в обход. Что, я думаю, было разумно со стороны Google, потому что, хотя это не было бы в их суде, чтобы решить проблему, пальцы указывали бы на них.

Google НЕ берет 30% только за использование Play Store. Размещение приложения в Play Store не означает, что оно должно использовать платежный процессор Google (который занимает 30%). Fortnite может разместить приложение в Play Store и при этом избежать 30-процентной комиссии, используя PayPal или собственную платежную систему.
Интересно, что тогда они не пошли по этому пути. Хотя я предполагаю, что эти другие варианты, вероятно, также будут сокращены, и они хотят полностью их избежать.
Причина в основном политическая. Подсказка: партнерство между Samsung и Fortnite.

Чтобы можно было установить через дополнительные платформы типа f-droid , где есть ряд бесплатных программ. Обычно они имеют открытый исходный код и не содержат рекламы, а это означает, что вы также можете внести свой вклад, если хотите.

Зачем мне включать «Установить неизвестные приложения»?
СпросиСетьПолитика конфиденциальности1y, 0v