「不明なアプリのインストール」を有効にするのはなぜですか?

11

LEO G7 Thin QでOreoを実行しています。設定をいろいろ調べていると、「不明なアプリをインストールする」ことに遭遇しました。設定->アプリと通知->特別なアクセス->不明なアプリをインストール 不明なアプリのインストール設定のスクリーンショット

不明なアプリをインストールする可能性のあるプログラムのリストです。不明なアプリをインストールできるのは、メッセージングとメールのみです。

Androidには、不明なアプリをインストールするためのアプリのオプションがあるのはなぜですか?マルウェアに対しては比較的脆弱なようです。

settings  installation  unknown-sources 
ブルース・ダイモン
ソース

回答:

7

Android Oreoを開始すると、サイドローディング(Playストア以外のソースからのアプリのインストール)が実際により安全になりました。

以前は(Naugat以下)、[不明なソース]オプションを選択すると、実際にはすべてのAPKソース(Chrome、Amazonアプリストアなど)が許可されていました。つまり、システムはapkファイルのソースを気にしませんでした。

次に、ソースとして設定できる個々のアプリを許可する必要があります。また、心配する必要はありません。その許可されたアプリは、バックグラウンドでアプリをインストールできません。アプリをインストールするには、[インストール]ボタンを押す必要があります。したがって、ここではセキュリティの侵害はありません。インストールボタンを押すだけで安心できます。Amazonアプリストアのみを許可している場合は、広告主のアプリによってバックグラウンドでダウンロードされた悪意のあるAPKをインストールしないようにすることができます。

Android Quesito
ソース
それは実際には真実ではありません。以下のFortniteに関する投稿の例で使用されている現在のバグでさえ、まさにそれを行っていました。「不明なソースを許可する」でFortniteをインストールする権限を付与し、Fortniteをインストールした場合、他のアプリに、アプリ内のバグがあるバックグラウンドで許可なしにアプリをインストールする機能が付与されます。
Jay Snayder 2018
@JaySnayder Man-in-the-Disk攻撃は完全に異なるシナリオです。Fortniteをインストールした場合は、最初にヘルパーアプリをインストールする必要があります。このヘルパーアプリはapkファイルをダウンロードし、インストールボタンをクリックしてapkファイルをインストールします。バグにより、悪意のあるアプリがヘルパーアプリがダウンロードしたapkファイルを置き換えることができました。
Android Quesito 2018
ヘルパーがシステムに入ると、ボックスがトグルされると、ユーザーからの許可リクエストなしでアプリをデバイスにサイレントインストールできます。
ジェイスナイダー
@JaySnayderオレオの標準的な動作ではありません。Samsungデバイスでは、FortniteインストーラーがプライベートGalaxy Apps APIを介してAPKインストールをサイレントで実行します。
Android Quesito 2018
4

初期のAndroidは「オープンプラットフォーム」を表しており、少しコンテキストを理解するのに役立ちます。

リリース時のモバイルプラットフォームは比較的ユニークで、Windows、Mac、Linuxで動作する開発者ツールチェーンがありました。中央承認サーバーにデバイスを登録する必要なしに、すべてのデバイスを「開発者モード」にすることができます(AppleのiOSおよび後でMicrosoftのWindows Phoneを参照)。

スマートフォン以外でのアプリの配布は通常、キャリアごとに行われ、その動作の一部は2011年まで持続し、AT&Tはスマートフォンから「不明なソース」を削除しました。

https://forums.att.com/t5/Android/quot-Unknown-Sources-quot/td-p/2814557

キャリアは、ネットワーク上で販売されているデバイス、つまりブロートウェアに独自のアプリをバンドルし続けています。

公式開発者向けドキュメントでは、代替ディストリビューションについて言及しています。

https://developer.android.com/distribute/marketing-tools/alternative-distribution

オープンプラットフォームとして、Androidは選択肢を提供します。Androidアプリは、ニーズに合った配布方法または方法の組み合わせを使用して、好きな方法でユーザーに配布できます。アプリマーケットプレイスでの公開から、ウェブサイトからアプリを提供したり、ユーザーに直接メールを送信したりするまで、特定の配布プラットフォームに縛られることはありません。

したがって、アプリ開発者であれば、デバイスを購入する余裕ができれば、理論的には無料の開発者ツールをダウンロードしてアプリを作成し、テストして、デプロイすることができます(企業環境またはGoogleでサポートされていない地域)。グーグルは公式の立場で。

サードパーティの配布アプリには、AmazonのApp Store、Epic GamesのFortnite、F-Droid(オープンソースアプリ)が含まれます。

Android 8.0では、細かいインストール権限が追加されたため、エンドユーザーは、以前に承認されたアプリを他のアプリをブロックせずにブロックできるようになりました。

https://developer.android.com/studio/publish/#publishing-unknown

モリソン・チャン
ソース
3

Androidはかなり前からこの機能を提供しています。オペレーティングシステムのセキュリティ原則の一部をバイパスするため、デフォルトではこの機能は有効になりません。

Google Playストアからインストールする場合は、この機能を有効にする必要はありません。Google PlayストアはアプリAPKに対して他のさまざまなセキュリティチェックを行い、露骨なセキュリティホールがないことを確認します。

この1つのケースは、デバイス上のアプリケーションをバックアップする場合です。オフラインストレージ用にアプリのバックアップを作成できます。次に、これを有効にして後で保存した.apkファイルから直接インストールできます。または、開発者であれば、後で簡単にインストールできるように別のバージョンを利用できるようにしたり、そのソフトウェアの他のバージョンを維持したりできます。

通常、この機能の一部をオンにして、Webで見つかった.apkファイルをダウンロードすることはお勧めしません。しかし、そこにはアプリのホスティングサイトがあります。この機能をオンにすると、それらのソースからダウンロードできます。

FortNiteは、Google Playストアの外でリリースされたゲームの最近の例であり、この機能をオンにしてセキュリティをバイパスする必要がありました。主な理由は健全です。Googleがサービスを利用すると、利益の30%を受け取ります。ゲームの人気のため、Googleはゲームの起動時にゲームのサーバーのセキュリティ監査を行うことを決定し、ひどいアプリやその他の機能のサイレントインストールを可能にするシステムのいくつかの重要なセキュリティホールを明らかにしましたそれが迂回していたこと。問題を解決するために彼らの法廷にいなかったとしても、指が彼らの方向を指していたであろうので、私はグーグルの部分で賢いと思いました。

ジェイ・スナイダー
ソース
Playストアを使用するためだけにGoogleが30%を消費することはありません。Playストアでアプリをホストすることは、Googleの支払いプロセッサを使用する必要があることを意味しません(30%かかります)。Fortniteは、Playストアでアプリをホストし、PayPalまたは独自のペイメントプロセッサを使用して30%の充電を回避することができます。
Android Quesito 2018
彼らがこの経路をたどらなかったことは興味深い。これらの他のオプションも同様に削減される可能性が高く、それらを完全に回避したいと思いますが。
ジェイスナイダー
その理由は主に政治的なものです。ヒント:SamsungとFortniteのパートナーシップ。
Android Quesito 2018
2

f-droidのような追加のプラットフォームを介してインストールできるようにするために、いくつかのフリーソフトウェアがあります。これらは通常、オープンソースで広告なしです。つまり、必要に応じてそれらに貢献することもできます。

アンディ
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.