¿Por qué habilitaría "Instalar aplicaciones desconocidas"?

Tengo un LG G7 Thin Q con Oreo. Mientras hurgaba en la configuración, me encontré con "Instalar aplicaciones desconocidas". Configuración -> Aplicaciones y notificaciones -> Acceso especial -> Instalar aplicaciones desconocidasCaptura de pantalla de la configuración Instalar aplicaciones desconocidas

Es una lista de programas que pueden instalar aplicaciones desconocidas. Solo Mensajería y Correo electrónico pueden instalar aplicaciones desconocidas.

¿Por qué Android tiene la opción de que las aplicaciones instalen aplicaciones desconocidas? Parece bastante vulnerable al malware.

Respuestas (4)

A partir de Android Oreo, la carga lateral (instalar una aplicación desde una fuente que no sea Play Store) en realidad se ha vuelto más segura.

Anteriormente (Naugat o inferior), cuando solía marcar la opción "Fuentes desconocidas", en realidad permitía universalmente todas las fuentes de apk (Chrome, Amazon Appstore, etc.). Significa que al sistema no le importaba la fuente del archivo apk.

Ahora, debe permitir aplicaciones individuales que se pueden configurar como fuente. Y no se preocupe: esa aplicación permitida no podrá instalar aplicaciones en segundo plano. Aún deberá presionar el botón Instalar para instalar una aplicación. Entonces, no hay compromisos de seguridad aquí. Estará tranquilo mientras presiona el botón Instalar. Si solo ha permitido Amazon Appstore, entonces puede estar seguro de que no instalará un apk malicioso que fue descargado en segundo plano por una aplicación de anunciante.

Eso en realidad no es cierto. Incluso el error actual utilizado para un ejemplo a continuación en mi publicación sobre Fortnite estaba haciendo exactamente eso. Si le dio permisos para instalar Fortnite con "permitir fuentes desconocidas" e instaló Fortnite, entonces le dio a otras aplicaciones la capacidad de instalar aplicaciones sin su permiso en segundo plano con el error que estaba en la aplicación.
El ataque @JaySnayder Man-in-the-Disk es un escenario completamente diferente. En caso de que haya instalado Fortnite, primero debe instalar una aplicación auxiliar. Esta aplicación de ayuda descarga el archivo apk y luego instala el archivo apk presionando el botón de instalación. El error simplemente permitió que una aplicación maliciosa reemplazara el archivo apk que descargó la aplicación auxiliar.
Una vez que el ayudante ha encontrado su camino en el sistema, puede instalar aplicaciones en su dispositivo de forma silenciosa sin solicitudes de permiso del usuario una vez que se activa esa casilla.
@JaySnayder Ese no es el comportamiento estándar de Oreo. En los dispositivos Samsung, el instalador de Fortnite realiza la instalación del APK de forma silenciosa a través de una API privada de Galaxy Apps.

Android desde el principio representó una "plataforma abierta", y ayuda a tener un poco de contexto.

En el momento de su lanzamiento, la plataforma móvil era relativamente única con una cadena de herramientas para desarrolladores que funcionaba en Windows, Mac y Linux. Cada dispositivo podría ponerse en 'modo desarrollador' sin la necesidad de registrar el dispositivo con un servidor de autorización central (ver iOS de Apple y luego Windows Phone de Microsoft).

La distribución de aplicaciones en teléfonos que no eran teléfonos inteligentes normalmente se realizaba por operador y parte de ese comportamiento persistió hasta 2011 cuando AT&T eliminó las "fuentes desconocidas" de sus teléfonos:

https://forums.att.com/t5/Android/quot-Unknown-Sources-quot/td-p/2814557

y los operadores continúan empaquetando sus propias aplicaciones en dispositivos vendidos en su red, es decir, bloatware.

La documentación oficial del desarrollador menciona la distribución alternativa:

https://developer.android.com/distribute/marketing-tools/alternative-distribution

Como plataforma abierta, Android ofrece opciones. Puede distribuir sus aplicaciones de Android a los usuarios de la forma que desee, utilizando cualquier enfoque de distribución o combinación de enfoques que satisfaga sus necesidades. Desde la publicación en un mercado de aplicaciones hasta el servicio de sus aplicaciones desde un sitio web o el envío de correos electrónicos directamente a los usuarios, nunca estará limitado a ninguna plataforma de distribución en particular.

Entonces, si es un desarrollador de aplicaciones, una vez que pueda pagar los dispositivos, en teoría podría descargar las herramientas gratuitas para desarrolladores, escribir las aplicaciones, probarlas e implementarlas (entorno corporativo o una región no admitida por Google) sin tener que interactuar con Google a título oficial.

Las aplicaciones de distribución de terceros incluyen App Store de Amazon, Fortnite de Epic Games y F-Droid (aplicaciones de código abierto).

Con Android 8.0, se agregaron permisos de instalación de grano fino para que el usuario final ahora tenga la capacidad de bloquear aplicaciones autorizadas previamente sin bloquear otras:

https://developer.android.com/studio/publish/#publishing-unknown

Android ha estado proporcionando esta función durante bastante tiempo. No habilitan la función de forma predeterminada porque omite algunos de los principios de seguridad del sistema operativo.

Cuando está instalando desde Google Play Store, no necesita esta función habilitada. Google Play Store realizará otras comprobaciones de seguridad sobre el APK de las aplicaciones y se asegurará de que no haya agujeros de seguridad flagrantes.

Un caso para esto es cuando está haciendo una copia de seguridad de las aplicaciones en su dispositivo. Puede crear copias de seguridad de sus aplicaciones para el almacenamiento sin conexión. Luego puede instalar directamente desde ese archivo .apk que guardó más tarde con esto habilitado. O, si es un desarrollador, puede mantener diferentes versiones disponibles para facilitar la instalación más adelante o para conservar otras versiones de ese software.

Por lo general, no se recomienda activar algunas de estas funciones y simplemente descargar los archivos .apk que se encuentran en la web, ya que pueden no ser amables. Pero existen sitios de alojamiento para aplicaciones. Al activar esta función, le permite descargar desde esas fuentes.

FortNite fue un ejemplo reciente de un juego que se lanzó fuera de Google Play Store y necesitaba activar esta función y evitar la seguridad. La razón principal es el sonido; Google se lleva el 30% de las ganancias cuando usas sus servicios. Debido a la popularidad del juego, Google decidió realizar una auditoría de seguridad de los servidores del juego cuando se lanzó y sacó a la luz varias lagunas de seguridad críticas en su sistema que permitirían instalaciones silenciosas de aplicaciones terribles, así como algunas otras funciones. que estaba pasando por alto. Lo cual creo que fue inteligente por parte de Google porque, aunque no hubiera estado en su corte resolver el problema, los dedos habrían estado apuntando en su dirección.

Google NO se queda con el 30% solo por usar Play Store. Alojar una aplicación en Play Store no significa que tenga que usar el procesador de pagos de Google (que requiere el 30 %). Fortnite podría alojar la aplicación en Play Store y aún así evitar un cargo del 30 % mediante el uso de PayPal o su propio Procesador de pagos.
Interesante que no tomaron esta ruta entonces. Aunque supongo que esas otras opciones probablemente también tendrán un recorte y quieren evitarlas por completo.
La razón es principalmente política. Pista: Asociación entre Samsung y Fortnite.

Para poder instalar a través de plataformas adicionales como f-droid , donde hay una serie de piezas de software gratuito. Por lo general, son de código abierto y sin publicidad, lo que significa que también puede contribuir a ellos si así lo desea.

¿Por qué habilitaría "Instalar aplicaciones desconocidas"?
RespuestasAquíPolítica de privacidad1y, 1v