Descobrindo os perigos ocultos que espreitam nas assinaturas de aplicativos Android com VLC
@este site — 27 de março de 2024
Há segurança no Android e mais particularmente a assinatura de aplicativos Está longe de ser tudo bonito e otimista. Você deve saber que nosso bom e velho VLC tem tido alguns problemas para atualizar seu aplicativo Android na Play Store recentemente.
Então por que esse bloqueio? Bem, simplesmente porque o Google decidiu usar App Bundles para todos os aplicativos que oferecem funcionalidades de TV. Até agora, não há problema, você pode dizer. Exceto que esse novo formato exige o fornecimento de sua chave de assinatura privada ao Google. E isso é simplesmente impossível para a equipe VLC!
Confiar a chave privada a terceiros é análogo a entregar as chaves da residência a um vizinho. O princípio da segurança depende da preservação da confidencialidade das informações pessoais. Não fazê-lo equivaleria a abandonar efectivamente a protecção da propriedade de alguém, deixando a porta da frente destrancada e estampada com um convite para que outros se ajudem.
Desde os primórdios do Android, cada aplicativo deve ser instalado por meio de um arquivo APK. Este arquivo contém tudo o que é necessário: código, recursos, dados… E para verificar se um APK é autêntico, ele deve ser assinado com uma chave privada gerada pelo desenvolvedor. Qualquer pessoa pode então verificar a chave pública usada para assinar o arquivo.
O principal benefício desta medida de segurança reside na sua capacidade de manter a autenticidade sem compromissos da aplicação. Caso o desenvolvedor perca sua chave privada ou esqueça sua senha, ele não poderá liberar nenhuma atualização, pois a nova assinatura digital não corresponderá à original. Além disso, caso o desenvolvedor opte por compartilhar sua chave com outro indivíduo, essa pessoa estará autorizada a produzir e distribuir iterações não autorizadas do software, tornando-as válidas. Você consegue discernir a situação inerente a este cenário?
Com os App Bundles, passamos para um sistema de assinatura dupla onde uma chave de download (chave de upload) permite que a Play Store verifique se quem está enviando o arquivo é legítimo. Até agora tudo bem. Mas onde a chave de assinatura (chave de liberação), deve ser de propriedade do Google! Ou seja, a Play Store assina o app no lugar do desenvolvedor. É, portanto, esta chave privada que o Google está solicitando hoje ao VLC.
O Google implementou uma solução conhecida como “lançamento duplo” para resolver esse problema, por meio da qual dispositivos Android recentes (a partir da versão 11) podem instalar atualizações assinadas de forma diferente ao fornecer evidência de rotação de chave. No entanto, esta abordagem não se aplica a aplicações como o VLC, que continuam a suportar dispositivos mais antigos e televisões inteligentes.
Consequentemente, a equipe do VLC se depara com uma decisão desafiadora a tomar.
-Forneça sua chave privada ao Google e continue publicando normalmente. Lucro: nenhum. Risco: o Google tem controle total sobre as atualizações e a segurança dos aplicativos. Basta dizer que para eles não é. -Remova o suporte para TV dos APKs publicados na Play Store. Vantagem: não há necessidade de fornecer sua chave privada para dispositivos recentes. Desvantagem: não há mais suporte de TV para dispositivos mais antigos com Android 10 e versões anteriores. Nada bom. -Ignore pacotes de aplicativos completos. Vantagem: nenhuma. Desvantagem: isso tornaria o app incompatível com 30% dos usuários atuais. Nem em sonhos!
Em resumo, pode-se inferir que a falta de atualização recente na Play Store decorre do fato de a equipe do VLC se encontrar em um impasse.
A questão vai além de meros princípios; a Play Store não é o único repositório de aplicativos em dispositivos Android. Alternativas como o VLC são acessíveis através de várias fontes, incluindo o site oficial e outras lojas de aplicativos como Amazon AppStore ou Huawei AppGallery. Consequentemente, conceder acesso à chave de assinatura prejudicaria a integridade de toda a rede de distribuição.
Lamentavelmente, na ausência de ajustes por parte do Google para atender às nossas necessidades em evolução, não existe uma solução simples para perpetuar o acesso aos serviços de televisão através da Play Store em dispositivos Android mais antiquados.
A inconveniência vivida pelos desenvolvedores que estão limitados em suas ações é certamente motivo de preocupação. No entanto, esta situação vai além da frustração dos desenvolvedores; levanta preocupações legítimas relativamente aos princípios de segurança e privacidade defendidos pelos operadores de tais plataformas. À luz do recente pedido da Apple para que os desenvolvedores forneçam chaves de criptografia privadas, é razoável questionar se esses princípios-chave estão sendo protegidos de forma adequada.
Espera-se que o Google atenda às críticas que lhe são feitas e reconsidere a sua posição. No entanto, entretanto, o curso de ação mais prudente seria prestar o nosso apoio a programadores como o VLC, que permanecem firmes no seu compromisso de salvaguardar a privacidade e a segurança dos utilizadores, apesar da invasão de forças externas.
Para aqueles que podem estar intrigados, um relato abrangente do assunto está disponível em um artigo fascinante intitulado “VLC para atualizações do Android na Play Store” (na verdade, garanto).
-Android
Descubra um artigo aleatório…
Compartilhe este artigo
*️⃣ Link da fonte: