Muchas personas (incluyéndome a mí) son la descarga/instalación/actualización de aplicaciones en redes públicas donde los que no podemos estar seguros de una conexión segura sin ataques MiTM, no de Google Play Store transmitir los archivos APK a través de HTTPS? Y lo hace de verificar las sumas de comprobación después de la descarga antes de su instalación?
Respuesta
¿Demasiados anuncios?
Propio Android comprueba el certificado al actualizar ya instalada la Apk. Por lo tanto, no es posible instalar una alterado/modificado app que tendría que ser firmado con un certificado diferente. Iba a lanzar un certificado de desajuste de la excepción. El uso de Google Play para instalar una nueva aplicación para la primera vez es diferente de alguna manera: Es firmado con los desarrolladores clave, pero Google o un hombre en el medio podría manipulaciones de la conexión, modificar y, a continuación, la enviaremos a usted con una nueva firma. El instalador de paquetes y android en sí no comprobar con google, si la firma de los partidos. Pero Google Play implementa las recomendaciones de seguridad que google ofrece a los desarrolladores: Se utiliza SSL y debe ser, por tanto, segura. Por desgracia, un mal implementación puede llevar a la errónea seguridad como sucedió con muchas de las aplicaciones que fueron probados para la vulnerabilidad SSL en este estudio:
http://www2.dcsec.uni-hannover.de/files/android/p50-fahl.pdf
(No incluyendo Google Play)
Todavía la comprobación de la firma en sí es todavía vunrenable en 4.4: http://www.zdnet.com/kitkat-gets-fix-for-android-app-tampering-bug-but-earlier-versions-still-vulnerable-7000022930/
