Как убедиться, что приложение Android действительно скомпилировано из указанного исходного кода?

Question

Как убедиться, что приложение Android действительно скомпилировано из указанного исходного кода?

Многие приложения для Android имеют открытый исходный код, но как мы можем быть уверены, что человек, который окончательно загрузил в Google Market, не включит в себя шпионское ПО непосредственно перед загрузкой?

Предыстория: безопасность мобильных приложений, похоже, становится все более серьезной проблемой, и я хотел бы успокоить пользователей моего приложения с открытым исходным кодом для Android. Решения, которые требуют изменения процесса развертывания или содержимого приложения, также являются приемлемыми.

Обновление 2012: это идет в правильном направлении: http://f-droid.org/ Они проверяют приложения и собирают их в APK, которые они распространяют. Тем не менее, я бы доверял им больше, если бы они были Mozilla или Apache...

4

android security open-source toolchain spyware

Источник

user226958 24 июн '10 в 05:54

1 ответ

Другие вопросы по тегам android security open-source toolchain spyware

user366471 24 июн '10 в 08:00 2010-06-24 08:00 · Answer 1 · 2010-06-24 08:00

Посмотрите https://stackru.com/questions/249106/how-can-you-give-users-confidence-that-your-application-has-no-malicious-intent для получения некоторой связанной информации.

Конечно, вы можете взять исходный код и собрать / скомпилировать его самостоятельно и сравнить полученный бинарный файл с загруженным, но это как-то противоречит цели бинарного распределения. И это все равно не поможет в тех случаях, когда исходный код содержит вредоносный код. Или, может быть, создать безопасный, то есть доверенный двоичный файл, а затем опубликовать контрольную сумму для сравнения?

Кроме того, эта проблема действительно не относится к программному обеспечению с открытым исходным кодом. В конце концов, все сводится к доверию.