How to become an author
My feedAll streams
Search
Write a publication
Pull to refresh

Google Play — лучшая платформа для размещения приложений или сокровище для пиратов?! Глазами разработчика

Development for Android*
Invite pending

Хотелось бы чтобы на платформе андроид стало "немножко светлее", меньше пиратства, больше чистого и безопасного кода для "пациэнтов" Google Play, поэтому хотелось бы чтобы читатель Хабра проникся главной целью статьи: показать "отцам основателям" где они облажались и возможно получится призвать к разработке более безопасной защищенной среды в android, для размещения и выполнения приложений из Google Play или другой площадки.

Создание защищенного облака внутри ОС android для приложений

Создайте Вы уже оболочку с "локальным зашифрованным хранилищем" в ОС android для Ваших клиентов (для разработчиков и их потребителей)!

Откровенно говоря, если у Вас еще не горит красная лампочка, то посмотрите что творится с коммерческими проектами в Google Play, их взламывают и пиратят на хакерских площадках, не хочу называть их, чтобы не рекламировать, но таких куча, начиная от мессенджера Telegram, всякие каналы которые пиратят приложения с расширением ".apk", площадки-агрегаторы, которые ведут историю файлов обновлений из Play Market, а это всё ведет к пиратству, путем склейки вредоносного кода с оригинальным apk, не говоря уже о цифровой подписи приложений, которую умудряются подделать. Вырезают рекламу, всякие моды.

Google, Вы конечно можете свалить всё на разработчиков приложений, но давайте посмотрим дальше, если такая платформа появится, например не у компании Google, а вообще создадут такой проект, который позволит андроид разработчикам полностью обезопасить локально каждый проект от взлома, скачанный из платформы для размещения приложений потребителем.

Давайте рассмотрим почему это так важно, что это дает и как это повлияет на эволюцию приложений для платформы android.

Основные преимущества:

  • исчезнут пиратские площадки

  • коммерческая отрасль будет больше зарабатывать

  • разработчик будет по умолчанию защищен от локального взлома "apk"

  • отсутствие возможности вскрыть исходный код третьими лицами с помощью специальных сервисов или программ

  • больше будет зарабатывать площадка для размещения приложений

  • у площадки для размещения приложений вырастет доверие от рекламодателей и спонсоров

  • антивирусы больше не понадобятся, всё контролирует защищенная оболочка.

Недостатки:

  • как это реализовать?

  • я хочу вложиться в этот проект и быть инвестором такого проекта, но где же основатели?

Кто и как ведет борьбу с пиратством?

Давайте вернемся к реальности кто и как ведет борьбу с пиратством, как взламывают демо-версии приложений и типичные уязвимости Google Play, которые заложены в основу android приложений.

Как правило разработчики всегда дают "пощупать" пользователям функционал своего демо-проекта, таким образом завлекая новых клиентов бесплатным пробным периодом с возможностью пощупать весь функционал либо ограниченный, таким образом создавая дыру в безопасности как для "хакера" так и обычного продвинутого пользователям который не против поживиться халявой ленивых разработчиков.

Не стоит забывать о том что если Вы отдаете свой "apk" площадке для размещения приложений - то завтра его уже сольют на площадки агрегаторы размещения приложений и не важно какое у вас приложение клиент-сервер или просто локальное, к сожалению так и происходит и Google Play закрыла на это глаза и смирилась.

И всё идет от нашей любимой ОС android, с кучей проблем и дыр в безопасности для хакеров.

Типичные уязвимости android приложений

Рассмотрим функциональные возможности ОС android, которые приводят к утечкам данных пользователей, а так же к сложностям идентификации android устройства как клиента в приложениях, а так же приводят ко взлому приложений.

  1. Отсутствие прослойки, которая разделяет данные пользователя, например "контакты", чтобы обезопасить от утечки - это чревато тем, что клиент купив смартфон с ОС android подвергает себя риску отдать свои личные данные например свои контакты не только компании Google, но и другим сторонним приложениям (например спам компаниям, инфобазам, коллекторам) которые в этом заинтересованы и от этого разделяет всего лишь разрешения прав доступа, это большой плевок в сферу информационной безопасности. Почему приложение "контакты" до сих пор не придумали автоматическое шифрование контактов для других приложений, чтобы уменьшить риск утечек?

  2. Полная очистка данных приложения, позволяет обнулить приложение в состояние "как только скачанное" - это позволяет пользователям воспользоваться демо-версией приложения по истечению пробного периода снова и снова.

  3. Возможность добавления бесконечного количества google-аккаунтов на устройстве - компания google использует устаревшие методы безопасности, которые на практике уже не работают , против существующих сервисов: прием звонков на виртуальный номер, временные почты, прием смс на виртуальный номер, смена IMEI устройства и других физических привязок которые реализованы с помощью виртуальных машин с ОС android и зашифрованы под реальные устройства, что чревато атакой ботов на любую систему или веб-проект, включая Facebook, Twitter.

  4. Возможность копирования данных и кеша приложений с ОС на другие ОС android, так как приложения не зашифрованы и данные защищены лишь правами доступа, которые можно обойти.

  5. Возможность получения root - главная дырка в безопасности ОС android, так как дает возможность вмешиваться в ОС, что ведет к последствиям взлома (редактировать, изменять, распространять), что приводит к появлению коммерческих проектов на виртуальных машинах - боты которые обходят верификацию и используются своих целях.

  6. Использование сервисов с смс-подтверждением или звонков - не эффективный метод идентификации пользователя, так как существуют последнее десятилетие сервисы приема смс на виртуальные номера, сейчас разрабатывают сервисы для приема звонков, так же в скором времени станет уязвимостью проектов.

  7. Использование сервисов капчи - это не эффективно, так как существуют сервисы которые предоставляют методы обхода этой защиты за копейки. Используешь капчу - жди ботов в проекте.

Это всё усложняет Ваши проекты, но не делает их безопаснее, да это некий "фильтр" пользователей (ботов), которые с каждым днем становятся умнее, с помощью Ваших же собранных биг-дата пользователей, в будущем этот фильтр перестанет работать, поэтому нужно сейчас задуматься и обезопасить клиентов приложений с помощью "защищенной прослойки или облака защиты приложений" в ОС android.

Tags:
Hubs:
You can’t comment this publication because its author is not yet a full member of the community. You will be able to contact the author only after he or she has been invited by someone in the community. Until then, author’s username will be hidden by an alias.

Your account

Sections

Information

Services

Support
© 2006–2025, Habr