Comments 15
Не, я подозревал что там все плохо, но чтобы так...
Впрочем я думаю там умные люди сели и посчитали что дешевле будет реагировать на репорты, чем проверять каждое приложение живыми людьми.
Ну и в андроиде нынче приложения оч жестко придушены. Их убивает из памяти, запрещает автозапуск и тд.
Здравствуйте!
Согласен, в Android, особенно в версиях с 11-го, весьма неплохо Google постарался. Но речь все-таки больше про ошибки, которые допускаются на уровне приложений, которые некоторые магазины обещают проверять. Тут, сколько приложения не зажимай в правах, а такие проблемы все равно будут.
И я как раз хотел показать, что нельзя надеяться на такого рода проверки и что за безопасностью надо в первую очередь следить самим.
Попробуйте теперь начать писать репорты им что там уязвимости, и посмотреть как отреагируют
Отличная статья, интересно как дела обстоят с антивирусами на устройствах, что на обычном андроиде и гугл плей, что на xiaomi, сразу после установки запускается "антивирус" который создает видимость каких то проверок приложения.
Здравствуйте!
К сожалению, не большой в этом эксперт, но на самом деле такие проверки вполне могут иметь неплохой шанс обнаружить что-то нехорошее на устройстве. Как минимум по известным сигнатурам проанализировать apk-файлы, которые установлены очень даже возможно. Они как раз лежат в директории, к которой есть доступ у всех приложений, поэтому спокойно можно их посмотреть и сравнить (некоторый аналог VirusTotal).
Более продвинутые приложения такого рода умеют анализировать намного больше вещей, которые косвенно могут означать наличие проблем. Так что я бы не преуменьшал их значимости, проверяют что-то и хорошо, какой-то вектор закрывают. Но и рассчитывать только на них, конечно же не стоит.
Еще нужно также проверить Apple AppStore
Хмм! Ходит байка про 100к установок в гугл плей. Многих банили после достижения этой цифры. В магазине 3м приложений. Каждый год +- 200-300 тысяч приложений.
А вот планку 100к установок взяли только 200 тысяч ( менее 7%).
Я все таки скланяюсь к версии, что там есть приоритет к кому внимательней присматриваться
Уверен, что так оно и есть на самом деле.
Просто странно, что это в таком случае не указано в их политике. Было бы написано, вопросов бы вообще не было.
Я и сам считаю, что это не задача магазинов - в обязательном порядке проверять все приложения на уязвимости, это весьма трудоемко и сложно, учитывая и объемы и разнообразие технологий даже в мобилках. Но если уж ты об этом заявляешь - делай это хорошо =)
@Mr_R1p, что еще хочу заметить. Сейчас посмотрел в своей консоле.
Число устройств, на которых проверяют за 5 лет выросло с 4-5 в начале до 10. Не знаю у всех так или нет. Хотел сравнить приложения с разным MAU / числом инсталов.
Но к другие приложения я просто релизил. И у них
Возможно гугл затыкает дырку без прохождения тестов как раз из-за описанной вами ситуации.
https://support.google.com/googleplay/android-developer/answer/14151465?ref=vc.ru
То есть теперь автотесты отрабатывать будут для всех и еще нужно будет искать 20 человек.
Вопрос возник: а как на современном андроиде можно реализовать атаку, от которой защищает SSL Pinning? Хотел воспроизвести для тестирования одного своего приложения, но все варианты, которые я находил, предполагают наличие root'а на девайсе для установки сертификата условного злоумышленника в системное хранилище. Так что для реализации атаки на ум приходит разве что нахождение какой-нибудь уязвимости нулевого дня... или я что-то упускаю?
Notification from Google Play получил об уязвимости. Докопались к реализации ipp протокола без достаточных проверок.
Разрушители легенд: Как на самом деле магазины проверяют приложения на уязвимости