Dlaczego miałbym włączyć opcję „Zainstaluj nieznane aplikacje?”

11

Mam LG G7 Thin Q z systemem Oreo. Podczas omijania ustawień natknąłem się na „Zainstaluj nieznane aplikacje”. Ustawienia -> Aplikacje i powiadomienia -> Specjalny dostęp -> Zainstaluj nieznane aplikacje Zrzut ekranu przedstawiający instalację nieznanych ustawień aplikacji

Jest to lista programów, które mogą instalować nieznane aplikacje. Tylko wiadomości i poczta e-mail mogą instalować nieznane aplikacje.

Dlaczego Android ma opcję instalowania nieznanych aplikacji przez aplikacje? Wydaje się raczej podatny na złośliwe oprogramowanie.

Bruce Dimon
źródło

Odpowiedzi:

7

Począwszy od Androida Oreo, ładowanie boczne (instalowanie aplikacji ze źródła innego niż Play Store) stało się w rzeczywistości bezpieczniejsze.

Wcześniej (Naugat lub niżej), kiedy zaznaczyłeś opcję „Nieznane źródła”, w rzeczywistości powszechnie dozwolone były wszystkie źródła apk (Chrome, Amazon Appstore itp.). Oznacza to, że system nie dbał o źródło pliku apk.

Teraz musisz zezwolić na poszczególne aplikacje, które można ustawić jako źródło. I nie martw się: ta dozwolona aplikacja nie będzie mogła instalować aplikacji w tle. Nadal będziesz musiał nacisnąć przycisk Instaluj, aby zainstalować aplikację. Więc nie ma tutaj żadnych kompromisów w zakresie bezpieczeństwa. Po prostu naciśniesz przycisk Instaluj. Jeśli zezwoliłeś tylko na Amazon Appstore, możesz mieć pewność, że nie będziesz instalować złośliwego pakietu, który został pobrany w tle przez aplikację reklamodawcy.

Android Quesito
źródło
To nie jest prawda. Nawet bieżący błąd użyty w przykładzie poniżej w moim poście dotyczącym Fortnite robił właśnie to. Jeśli dałeś mu uprawnienia do instalowania Fortnite z „zezwalaj na nieznane źródła”, a zainstalowałeś Fortnite, to dał innym aplikacjom możliwość instalowania aplikacji bez Twojej zgody w tle z błędem, który był w aplikacji.
Jay Snayder,
@JaySnayder Atak Man-in-the-Disk to zupełnie inny scenariusz. Jeśli zainstalowałeś Fortnite, musisz najpierw zainstalować aplikację pomocniczą. Ta aplikacja pomocnicza pobiera plik apk, a następnie instalujesz plik apk, naciskając przycisk instalacyjny. Błąd po prostu pozwalał złośliwej aplikacji na zastąpienie pliku apk, który pobrała aplikacja pomocnicza.
Android Quesito,
Gdy pomocnik znajdzie się w systemie, może po cichu zainstalować aplikacje na urządzeniu bez żądań od użytkownika po przełączeniu tego pola.
Jay Snayder,
@JaySnayder To nie jest standardowe zachowanie Oreo. Na urządzeniach Samsung instalator Fortnite wykonuje instalację pakietu APK po cichu za pośrednictwem prywatnego interfejsu API aplikacji Galaxy.
Android Quesito,
4

Android od samego początku reprezentował „otwartą platformę” i pomaga uzyskać trochę kontekstu.

W momencie premiery platforma mobilna była względnie wyjątkowa z łańcuchem narzędzi dla programistów, który działał na systemach Windows, Mac i Linux. Każde urządzenie można przełączyć w „tryb programisty” bez konieczności rejestrowania urządzenia na centralnym serwerze autoryzacji (patrz iOS Apple, a później Windows Phone Microsoft).

Dystrybucja aplikacji na urządzeniach innych niż smartfony odbywała się zwykle w zależności od operatora, a niektóre z tych zachowań utrzymywały się do 2011 r., A AT&T usuwało „nieznane źródła” ze swoich telefonów:

https://forums.att.com/t5/Android/quot-Unknown-Sources-quot/td-p/2814557

a operatorzy nadal pakują własne aplikacje na urządzeniach sprzedawanych w ich sieci, np. nadmuchiwanym oprogramowaniu.

Oficjalna dokumentacja programisty zawiera wzmiankę o alternatywnej dystrybucji:

https://developer.android.com/distribute/marketing-tools/alternative-distribution

Jako otwarta platforma, Android oferuje wybór. Możesz dystrybuować swoje aplikacje na Androida w dowolny sposób, korzystając z dowolnej metody dystrybucji lub kombinacji metod spełniających Twoje potrzeby. Od publikowania w sklepie z aplikacjami po udostępnianie aplikacji ze strony internetowej lub wysyłanie wiadomości e-mail bezpośrednio do użytkowników, nigdy nie jesteś zablokowany na żadnej konkretnej platformie dystrybucyjnej.

Więc jeśli jesteś programistą aplikacji, gdy możesz sobie pozwolić na urządzenia, możesz teoretycznie pobrać bezpłatne narzędzia programistyczne, napisać aplikacje, przetestować je i wdrożyć (środowisko korporacyjne lub region nieobsługiwany przez Google) bez konieczności interakcji z Google w oficjalnym charakterze.

Zewnętrzne aplikacje dystrybucyjne obejmują Amazon App Store, Epic Games 'Fortnite i F-Droid (aplikacje open source).

W systemie Android 8.0 dodano uprawnienia do instalacji drobnoziarnistych, aby użytkownik końcowy mógł teraz blokować wcześniej autoryzowane aplikacje bez blokowania innych:

https://developer.android.com/studio/publish/#publishing-unknown

Morrison Chang
źródło
3

Android oferuje tę funkcję od dłuższego czasu. Domyślnie nie włączają tej funkcji, ponieważ omija ona niektóre zasady bezpieczeństwa systemu operacyjnego.

Podczas instalacji ze Sklepu Google Play nie potrzebujesz włączonej tej funkcji. Sklep Google Play przeprowadzi różne inne kontrole bezpieczeństwa w aplikacjach APK i upewni się, że nie ma rażących luk bezpieczeństwa.

Jednym z takich przypadków jest tworzenie kopii zapasowych aplikacji na urządzeniu. Możesz tworzyć kopie zapasowe swoich aplikacji do przechowywania offline. Następnie możesz zainstalować bezpośrednio z tego pliku .apk, który później zapisałeś z włączoną opcją. Lub jeśli jesteś programistą, możesz zachować różne wersje w celu późniejszej łatwej instalacji lub zachować inne wersje tego oprogramowania.

Zazwyczaj nie zaleca się włączania niektórych z tych funkcji i pobierania plików .apk znalezionych w Internecie, ponieważ mogą one nie być uprzejme. Ale istnieją witryny hostingowe dla aplikacji. Włączenie tej funkcji umożliwia pobieranie z tych źródeł.

FortNite to najnowszy przykład gry, która została wydana poza sklepem Google Play i trzeba było włączyć tę funkcję i ominąć zabezpieczenia. Głównym powodem jest zdrowy; Google korzysta z 30% zysków, gdy korzystasz z ich usług. Ze względu na popularność gry firma Google postanowiła przeprowadzić audyt bezpieczeństwa serwerów gry, gdy została uruchomiona, i ujawniła kilka krytycznych luk bezpieczeństwa w ich systemie, które pozwoliłyby na cichą instalację strasznych aplikacji, a także niektórych innych funkcji że to omijało. Co, moim zdaniem, było mądre ze strony Googlesa, ponieważ chociaż nie byłoby w ich sądzie rozwiązanie problemu, palce wskazywałyby na nich.

Jay Snayder
źródło
Google NIE bierze 30% za samo korzystanie ze Sklepu Play. Hostowanie aplikacji w Sklepie Play nie oznacza, że ​​musi ona korzystać z procesora płatności Google (co zajmuje 30%). Fortnite może hostować aplikację w Sklepie Play i nadal unikać opłat w wysokości 30%, korzystając z PayPal lub własnego procesora płatności.
Android Quesito,
Ciekawe, że wtedy nie poszli tą drogą. Chociaż zakładam, że te inne opcje prawdopodobnie również się obniżą i chcą ich całkowicie uniknąć.
Jay Snayder,
Powód jest głównie polityczny. Wskazówka: Partnerstwo między Samsungiem a Fortnite.
Android Quesito,
2

Aby móc zainstalować za pośrednictwem dodatkowych platform, takich jak f-droid , na których znajduje się wiele bezpłatnych programów. Zazwyczaj są to programy typu open source i wolne od reklam, co oznacza, że ​​możesz do nich wnieść swój wkład, jeśli chcesz.

Andy
źródło