Lukker smutthull i Google Play

Stenger døra for visse typer skadevare, men også Facebook.

Lukker smutthull i Google Play
Det er av sikkerhetsårsaker ikke anbefalt at vanlige Android-brukere installerer applikasjoner fra andre kilder enn Google Play, hvor det i det minste føres en viss kontroll over applikasjonene som tilbys. Nå strammer Google inn Android-applikasjonenes mulighet til å oppdatere seg selv på utsiden av Google Play. Bilde:

Google innførte i forrige uke et liten, men likevel betydelig spesifisering i selskapets programretningslinjer for Google Play-utviklere. Dette er regelverket utviklere av blant annet Android-applikasjoner må forholde seg til for å kunne distribuere applikasjoner gjennom Google Play.

I regelverket, under punktet om skadelige produkter, er det inn en ny setning:

An app downloaded from Google Play may not modify, replace or update its own APK binary code using any method other than Google Play's update mechanism.

De norske programretningslinjene har ennå ikke blitt oppdatert med denne setningen. I disse står det fortsatt bare: «Apper som samler informasjon (som f.eks. brukernes posisjon eller atferd) uten at brukeren er klar over det (spionprogram), skadelige skripter og passordsvindel er også forbudt på Google Play. Dette inkluderer apper som får brukere til å laste ned eller installere apper fra ukjente kilder utenfor Google Play».

Det nye er altså at ingen programvare som har blitt distribuert gjennom Google Play, får oppdatere seg selv, uten å involvere oppdateringsmekanismen i Googles tjeneste.

Facebook

Regelendringen kommer en drøy måned etter at det ble kjent at Facebook har gitt ut applikasjoner til Android som gjør nettopp dette – å oppdatere seg selv uten å benytte Google Play. Det skal dreie seg om et begrenset testprogram, hvor funksjonaliteten rulles ut til rundt én prosent av brukerne. De berørte brukerne skal stadig ha fått påminnelser direkte fra Facebook-applikasjonen om at en oppdatering er tilgjengelig.

For å installerer APK-filer fra andre kilder enn Google Play, kreves det som alltid at brukeren på enheten åpner for installasjon av applikasjoner fra ukjente kilder. Dette er en mulighet som er tilgjengelig i Android, men den må brukes med forsiktighet. Det er ikke tilrådelig å la denne «porten» være åpen til enhver tid.

Facebook har bekreftet tilfellet i en kort forklaring.

Det er likevel ukjent hvorfor Facebook har sett det som ønskelig å omgå Google Play for å tilby oppdateringer til selskapets applikasjoner. Dersom målet har vært å unngå kontrollen til Google, så har selskapet med dette kun oppnådd å rette oppmerksomhet mot denne muligheten.

For det er liten tvil om at slik mulighet utgjør en betydelig risiko for Android-brukerne, dersom den også tas i bruk av skadevare-utviklere. I slike tilfeller kan tilsynelatende uskyldige applikasjoner distribueres via Google Play og bestå enhver kontroll Google måtte utsette dem for. Det er først i en oppdatering av applikasjonen, lastet ned fra en annen kilde enn Google Play, at den skadelige koden vil bli installert.

Begrunnelsen?

Google har etter alt å dømme ikke begrunnet endringen – som egentlig er en presisering av den tidligere teksten. Noen vil nok hevde at Google gjør dette for å unngå at Facebook får for mye spillerom i Android, og det kan nok være en del av den interne begrunnelsen.

Men sperren mot installasjon av applikasjoner fra andre kilder enn Google Play er det viktigste hinderet mot distribusjon av skadevare til Android-enheter, og Google anser det trolig som uheldig at mye brukte applikasjoner oppfordrer brukerne til å deaktivere nettopp denne sperren.

    Les også:

Les mer om: