通过Playstore下载和更新软件

Question

我正在使用android商店下载和更新我的手机软件。有时，它的自动更新，如settings.The，播放商店是链接到我的一个Gmail帐户。在这里，我的问题是，如何信任我是安全地通信，下载和升级我的手机软件，同时也保证下载的软件使用我的帐户是100%的信任和安全？

Answer 1

play商店使用SSL/TLS来确保下载的完整性，就像您的web浏览器一样。基本上，它下载特定包的元数据，包括普通的HTTP和二进制文件的校验和。下载后，它将校验和与APK进行比较，并确保它们匹配。

怎样才能相信我在安全的通信下下载和升级软件

这给您提供了一个相当有力的保证，即在通信过程中下载不会被破坏，但是如果TLS可能被破坏，那么包含下载URL和校验和的元数据请求可能会被篡改。

对大多数对手来说，妥协TLS并不容易，但是TLS依赖于安装在设备上的150个根CA证书的完整性。这些可信的CA证书中有许多是由包括美国和中国在内的各个政府部门控制的。如果你的对手拥有一个民族国家的资源，那么他们很有可能会破坏你的下载。

此外，攻击者还可能通过网络钓鱼等社会工程技术，诱使用户安装恶意根CA证书。不过，Android对此有相当强的防御能力，包括在安装额外CA证书时在通知栏中发出警告。

另一个防御层是，某些权限只能由与系统相同的证书签名的APK访问。这为系统应用程序(如设置应用程序)提供了额外的保护。

确保使用我的帐户下载的软件是100%可信和安全的？

我前面提到的内容确保了您的下载是您想要下载的。它不能保证您想要下载的内容是可信的或安全的。Google会自动扫描提交的恶意功能(他们称这个系统为“保镖”)，但我只认为这是第一道防线。

一般来说，你应该把同样的酌处权应用于应用程序，就像你在PC软件上一样。

• 仅从值得信赖的供应商下载
• 检查评审和反馈
• 手动彻底检查权限
• 不要安装你不一定要安装的软件

等等

注意:我的答案适用于Android4.4.4和Play Store 4.9.13，但是它很可能也适用于较新的版本。