Tengo un LG G7 Thin Q corriendo Oreo. Curioseando en los ajustes, me he encontrado con "Instalar apps desconocidas". Ajustes -> Apps y notificaciones -> Acceso especial -> Instalar apps desconocidas. 
Es una lista de programas que pueden instalar aplicaciones desconocidas. Sólo la mensajería y el correo electrónico pueden instalar aplicaciones desconocidas.
¿Por qué Android tiene la opción de instalar aplicaciones desconocidas? Parece bastante vulnerable al malware.
A partir de Android Oreo, el sideloading (instalar una app desde una fuente distinta a Play Store) se ha vuelto realmente más seguro.
Anteriormente (Naugat o inferior), cuando se marcaba la opción "Fuentes desconocidas", en realidad se permitían universalmente todas las fuentes de apk (Chrome, Amazon Appstore, etc). Es decir, al sistema no le importaba la fuente del archivo apk.
Ahora, tienes que permitir las aplicaciones individuales que se pueden establecer como fuente. Y, no te preocupes: esa aplicación permitida no podrá instalar aplicaciones en segundo plano. Tendrás que pulsar el botón de instalación para instalar una aplicación. Por lo tanto, no hay compromisos de seguridad aquí. Sólo tendrás tranquilidad al pulsar el botón de instalación. Si usted ha permitido Amazon Appstore sólo, entonces usted puede estar seguro de que no va a instalar un apk malicioso que se descargó en el fondo por una aplicación anunciante.
Eso no es cierto. Incluso el error actual utilizado para un ejemplo más abajo en mi post con respecto a Fortnite estaba haciendo exactamente eso. Si le das permisos para instalar Fortnite con el "permitir fuentes desconocidas", e instalas Fortnite, entonces le da a otras aplicaciones la capacidad de instalar aplicaciones sin tu permiso en segundo plano con el bug que había en la aplicación.
@JaySnayder El ataque del hombre en el disco es un escenario totalmente diferente. En caso de que hayas instalado Fortnite, primero tienes que instalar una aplicación de ayuda. Esta aplicación de ayuda descarga el archivo apk y luego se instala el archivo apk pulsando el botón de instalación. El error simplemente permitió que una aplicación maliciosa reemplazara el archivo apk que la aplicación de ayuda descargó.
Una vez que el ayudante ha encontrado su camino en el sistema, puede instalar silenciosamente aplicaciones en su dispositivo sin solicitudes de permiso del usuario una vez que la casilla está activada.
Android representó desde el principio una "plataforma abierta", y ayuda a tener un poco de contexto.
En el momento de su lanzamiento, la plataforma móvil era relativamente única con una cadena de herramientas para desarrolladores que funcionaba en Windows, Mac y Linux. Todos los dispositivos podían ponerse en "modo desarrollador" sin necesidad de registrarlos en un servidor central de autorización (véase iOS de Apple y, posteriormente, Windows Phone de Microsoft).
La distribución de apps en teléfonos no inteligentes se hacía normalmente por operador y parte de ese comportamiento persistió hasta 2011 con la eliminación por parte de AT&T de las "fuentes desconocidas" de sus teléfonos:
https://forums.att.com/t5/Android/quot-Unknown-Sources-quot/td-p/2814557
y los operadores siguen incluyendo sus propias aplicaciones en los dispositivos vendidos en su red, es decir, bloatware.
La documentación oficial del desarrollador menciona la distribución alternativa:
https://developer.Android.com/distribute/marketing-tools/alternative-distribution
Como plataforma abierta, Android ofrece opciones. Puedes distribuir tus aplicaciones Android a los usuarios de la manera que quieras, utilizando cualquier enfoque de distribución o combinación de enfoques que satisfaga tus necesidades. Desde la publicación en un mercado de aplicaciones hasta el servicio de tus aplicaciones desde un sitio web o su envío por correo electrónico directamente a los usuarios, nunca estarás atado a una plataforma de distribución en particular.
Así que si eres un desarrollador de aplicaciones, una vez que puedas permitirte los dispositivos, podrías en teoría descargar las herramientas gratuitas para desarrolladores, escribir las aplicaciones, probarlas y desplegarlas (en un entorno corporativo o en una región no soportada por Google) sin tener que interactuar nunca con Google de forma oficial.
Las aplicaciones de distribución de terceros incluyen la App Store de Amazon, Fortnite de Epic Games y F-Droid (aplicaciones de código abierto).
Con Android 8.0 se añadieron permisos de instalación de grano fino, por lo que el usuario final tiene ahora la capacidad de bloquear aplicaciones previamente autorizadas sin bloquear otras:
https://developer.Android.com/studio/publish/#publishing-unknown
Android lleva bastante tiempo ofreciendo esta función. No activan la función por defecto porque se salta algunos de los principios de seguridad del sistema operativo.
Cuando se instala desde la Google Play Store no es necesario activar esta función. Google Play Store realizará otras comprobaciones de seguridad sobre el APK de las aplicaciones y se asegurará de que no haya agujeros de seguridad evidentes.
Un caso para esto es cuando estás haciendo una copia de seguridad de las aplicaciones en tu dispositivo. Puedes crear copias de seguridad de tus aplicaciones para almacenarlas sin conexión. Luego puedes instalar directamente desde ese archivo .apk que guardaste más tarde con esto habilitado. O si eres un desarrollador puedes mantener diferentes versiones disponibles para facilitar la instalación más tarde o para mantener otras versiones de ese software alrededor.
Normalmente no se aconseja activar esta función y descargar los archivos .apk que se encuentran en la web, ya que pueden no ser de buena calidad. Pero hay sitios de alojamiento de aplicaciones por ahí. Activar esta función te permite descargar desde esas fuentes.
FortNite fue un ejemplo reciente de un juego que se lanzó fuera de la Google Play Store y que necesitaba activar esta función y saltarse la seguridad. La razón principal es sólida; Google se lleva el 30% de los beneficios cuando se utilizan sus servicios. Debido a la popularidad del juego, Google decidió hacer una auditoría de seguridad de los servidores para el juego cuando se lanzó y sacó a la luz varias lagunas de seguridad críticas en su sistema que permitirían las instalaciones silenciosas de aplicaciones terribles, así como algunas otras características que se estaba saltando. Lo cual creo que fue inteligente por parte de Google, porque aunque no hubiera estado en su mano resolver el problema, los dedos habrían apuntado hacia ellos.
Google NO se lleva el 30% sólo por usar la Play Store. Alojar una aplicación en Play Store no significa que tenga que utilizar el procesador de pagos de Google (que se lleva el 30%). Fortnite podría alojar la aplicación en Play Store y seguir evitando el cargo del 30% utilizando PayPal o su propio procesador de pagos.
Es interesante que no hayan seguido este camino entonces. Aunque supongo que esas otras opciones también se llevarán un recorte y querrán evitarlas por completo.
PreguntAndroid es una comunidad de usuarios de Android en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.
