Como usuarios de teléfonos inteligentes y ciudadanos de Internet en general, todos estamos acostumbrados a ver titulares que nos dicen cómo funciona la aplicación. Se descubrió que la tienda para nuestros teléfonos tenía un puñado de aplicaciones con malware y que se descargaron unos pocos millones veces. Estas historias provienen de empresas de seguridad que pasan el 100 % de su tiempo buscando este tipo de cosas, y es genial que esas empresas están haciendo todo este trabajo sucio: cuantos más ojos estén en las cosas que podemos instalar en nuestros teléfonos, más mejor. Pero también es igual de importante poner todo en perspectiva; para no restar importancia a los riesgos que conlleva la descarga cualquier aplicación a cualquier tipo de computadora, sino para reforzarla y descubrir qué es lo mejor cuando se trata de las cosas que hacemos.
Y cuando todo esté dicho y hecho, Google Play sigue siendo el mejor lugar para casi todos cuando quieren descargar una aplicación. Claro, no es perfecto. Incluso Google lo sabe. Pero cuando se trata de minimizar los riesgos que implica compartir cualquier cosa con otra empresa o individuo que quiera sacar provecho de sus datos, es su mejor opción.
¿Qué es el malware?
Lo primero que debe tener en cuenta es que la definición de malware varía. Para usted y para mí (y empresas de seguridad como Sophos o Lookout), el malware es cualquier aplicación o parte de una aplicación que hace algo que no creemos que debería estar haciendo. Un juego que recopila información de su libreta de direcciones o una aplicación que tiene anuncios que rastrean su ubicación e historial de Internet es basura y es malware. Pero hay otro factor en la ecuación, y es pedir permiso.
El malware es algo de lo que todos odiamos hablar, pero debemos hacerlo de todos modos.
Los permisos de Android hacen posible que una aplicación haga cosas realmente malas y no sea clasificada como malware por un escáner automático o por el mismo Google. Y eso apesta. Pero también es perfectamente aceptable en otro nivel porque se siguen todas las reglas. Es por eso que Google cambia regularmente esas reglas y prohíbe cosas como las superposiciones de pantalla. Cuando su aplicación de atenuación de pantalla favorita o esa barra lateral en su teléfono Galaxy S edge cambia la forma en que funciona y no te gusta, culpa a los desarrolladores de mierda que usaron una superposición para engañar a las personas para que hicieran clic cosas. Y hay muchos de esos.
El malware real es una aplicación que hace algo que no darle permiso para hacer. Esos existen y, a veces, pueden terminar en Google Play. Pero no duran mucho y Google tiene verificaciones secundarias que impiden que se instalen en su teléfono, incluso si están alojados en Play Store y usted los descargó. Incluso si una aplicación hace algo complicado para que agregues algo de una fuente diferente a través de un directo descarga, Google Play Protect escanea todas sus aplicaciones regularmente y las encontrará, siempre que las tenga activado. Y deberías tenerlo habilitado.
Malware en Google Play
Como se mencionó anteriormente, sucede. Verá un titular en todas partes cuando lo haga (lo cual es bueno) para informarle que se encontró malware en su tienda de aplicaciones. También verá cuántos millones de veces se descargó, y ver que 5 millones de personas descargaron una aplicación que puede explotar el software de su teléfono y enviar datos a algún servidor es aterrador. Pero, de nuevo, es necesaria cierta perspectiva; Google dice que hay más de 2 mil millones de dispositivos Android activos que usan Google Play cada mes. 5 millones de personas es el 0,25% de ellos, lo que significa que el 99,75% de los usuarios de Android no estuvieron expuestos.
Cualquier malware en una tienda de aplicaciones es demasiado malware para nuestro gusto. La de Google también.
Ese 0.25% es aún demasiado alto. Google está de acuerdo y tiene el elevado objetivo de cero instancias de malware en su tienda. También saben que eso no va a suceder, pero aun así apuntan alto. Y deberían hacerlo porque están pidiendo nuestra confianza. La confianza nunca debe darse libremente y también debe revocarse rápidamente cuando sea necesario. Recuerde que Google es una gran empresa y las personas que quieren hacer todo lo posible para recopilar sus datos no son las mismas personas que quieren hacer todo lo posible para proteger sus datos. Afortunadamente, Google abarca ambos departamentos.
La mayor parte del "malware" que se encuentra en Google Play es ese otro tipo de malware. Aplicaciones que siguen las reglas pero que dependen de que no leas los permisos de las aplicaciones (o ni siquiera los conozcas) y que instales su basura de todos modos. Este es un problema mayor porque no hay una solución fácil.
Una tienda de aplicaciones abierta
Queremos y adoptamos una tienda de aplicaciones "abierta". Eso significa que cualquiera puede gastar solo $ 5 y registrarse en Google Play y cargar una aplicación para que tú y yo la descarguemos. Hemos visto algunas aplicaciones asombrosas de personas que no pueden permitirse el lujo de escribir aplicaciones para iOS debido a las tarifas y equipo necesario (necesita una computadora Mac moderna para escribir aplicaciones iOS) y Google Play no tiene esos mismos restricciones Pero con lo bueno, siempre hay lo malo.
Google Play le asigna parte de la responsabilidad en lo que respecta a los permisos de las aplicaciones. Léelos.
El otro lado de una tienda de aplicaciones abierta no es tan bonito. cualquiera con un iPhone Puedo decirte que todas las aplicaciones en la App Store tienen el mismo nivel de atención a la interfaz de usuario, y Apple examina cada una de ellas. envío para asegurarse de que cumple con sus estándares tanto para la experiencia del usuario como para los datos que la aplicación puede recopilar y lo que puede hacer con eso. Esto causa un dolor de cabeza a los desarrolladores, pero dejando de lado todas las hipérboles, hace beneficiar a los usuarios. Eso somos tú y yo.
Google no utiliza los mismos métodos de envío. En cambio, enumera cuáles son las capacidades de Android, cómo un desarrollador puede usarlas a través de las API expuestas y obliga a la aplicación a solicitar permiso para hacer algo de eso. Esto pone la responsabilidad en ti y en mí cuando se trata de permitir que aplicaciones que técnicamente no son malware vivan en nuestros teléfonos. Esto es bueno y malo; deberíamos poder instalar lo que queramos ya que pagamos por el dispositivo, pero la mayoría de las personas ni siquiera conocen o entienden los permisos de las aplicaciones y mucho menos leerlos.
Qué significan esos aterradores permisos de aplicaciones
Google ha hecho un buen trabajo al desglosar los permisos del proceso de instalación y, desde Android 6.0, ha podido acceder a su configuración y revocar cualquiera o todos los permisos de una aplicación. Pero eso todavía no es lo suficientemente bueno porque realmente necesitamos saber qué los permisos realmente implican y por qué una aplicación tendría una necesidad legítima de ello. Deberíamos tener la mayor parte de la responsabilidad cuando se trata de qué aplicaciones instalamos en nuestros teléfonos y qué pueden hacer esas aplicaciones. Pero también debemos estar debidamente informados sobre todo esto. En este momento, la información disponible necesita algo de experiencia técnica para abrirse paso y eso no es lo suficientemente bueno para un producto dirigido al consumidor en general.
Otras tiendas de aplicaciones
Existen otras tiendas de aplicaciones, y no estamos tratando de decir que no sean seguras de usar. Samsung, LG, Amazonas y otros nombres que todos conocen tienen su propio mercado de aplicaciones de Android. Otro servicio popular es F-droide, que aloja software 100 % gratuito (el tipo de software gratuito que significa que puede obtener el código fuente y crearlo usted mismo) para dispositivos Android. En general, puede confiar en que las aplicaciones que obtiene de cualquiera de estas tiendas serán seguras de usar. Amazon y F-Droid escanean las aplicaciones que se cargan y Google Play Protect también las escanea regularmente, pero hay otras cosas a considerar.
Sabes que Samsung o F-Droid ofrecen aplicaciones seguras porque estás leyendo un blog de Android; no todo el mundo lee blogs de Android.
Empresas como Samsung o Amazon también están en el negocio de los datos y tienen sus propias políticas en lo que respecta a lo que se puede recopilar, cómo se puede recopilar y con quién se puede compartir. F-Droid requiere que deshabilites una función de seguridad conocida y permitas que las aplicaciones "fuentes desconocidas" en su teléfono para instalar aplicaciones. Ninguna de estas situaciones es mala, pero supone una carga adicional para el usuario.
He usado todas las tiendas mencionadas anteriormente, y me gusta mucho F-Droid en particular porque atrae mi amor por Software gratuito de código abierto. Mucha gente que lea esto habrá hecho lo mismo. Pero si está leyendo un blog de Android en línea, no es ese "consumidor promedio" para el que están diseñados Android y los teléfonos que lo ejecutan. Muchas personas con un teléfono Android no están técnicamente inclinadas, e incluso aquellas que sí lo están pueden no estarlo interesado en cambiar la configuración de seguridad o buscar otro EULA para usar una aplicación diferente almacenar. Estamos aquí para ayudar a informar a cualquiera, pero nuestro alcance es extremadamente limitado cuando regresa a ese número de 2 mil millones de usuarios mensuales.
Google Play funciona para todos
No estamos animando aquí, pero Google Play sigue siendo el mejor lugar para que cualquiera pueda obtener aplicaciones para su teléfono. Google tiene un interés personal en la plataforma Android y sabe que la tienda de aplicaciones es la razón por la que tiene 2 mil millones de usuarios. Gasta mucho dinero y tiempo para hacerlo lo más seguro posible o al menos intentar hacerlo.
Queremos que Google trabaje duro para que Play Store sea aún mejor para los usuarios y desarrolladores.
Sin embargo, tiene mucho margen de mejora. Regrese a las dos definiciones diferentes de malware y cómo la mayoría termina instalado en el teléfono de alguien (incluido el suyo y el mío). Las políticas actuales de Google permiten que sucedan cosas como la recopilación de datos innecesaria o la inyección de anuncios incompletos porque los usuarios no conocen o no entienden las reglas. Los infractores conocen las reglas y son muy buenos para bordearlas para poder beneficiarse de nuestros datos. Dependen de consumidores desinformados que toman decisiones ilógicas cuando se trata de instalar aplicaciones, y finalmente debe llegar a su fin.
Sin embargo, considerando todo, Google Play sigue siendo su mejor apuesta para una gran selección de aplicaciones seguras. El pequeño porcentaje que cae bajo cualquiera de las definiciones de malware es algo que debe abordarse, pero son pocos y distantes entre sí, y es muy posible que también estén en otras tiendas de aplicaciones. Los "usuarios avanzados", a falta de un término mejor, pueden beneficiarse de otros mercados abiertos como F-Droid, pero en general recomendación todos nosotros aquí en Android Central señalaríamos a cualquiera hacia Google Play y tendríamos fe en que es el correcto decisión.