Beaucoup d'applications Android sont open source, mais comment pouvons-nous nous assurer que la personne qui télécharge finalement sur le Google Market n'inclut pas certains logiciels espions juste avant de les télécharger? Contexte: La sécurité des applications mobiles semble être a growing concern, et je voudrais rassurer les utilisateurs de mon application Android Open Source. Les solutions qui nécessitent de modifier le processus de déploiement ou le contenu de l'application sont également acceptables.Comment s'assurer qu'une application Android a bien été compilée à partir de ce code source?
2012 mise à jour: Cela va dans le bon sens: http://f-droid.org/ Ils vérifient les applications et les compilent en APK qu'ils distribuent. Cela étant dit, je leur ferais confiance plus si elles étaient Mozilla ou Apache ...
Une cryptographie est en cours lors de la génération d'un fichier APK, donc je suppose que la comparaison binaire ne fonctionne pas. Comment créer ce "binaire de référence de confiance"? La seule solution que je puisse imaginer serait une grande fondation open source ayant un système qui a la clé d'empaquetage de l'APK, qui lit la source à partir d'un référentiel de source publique et qui génère un fichier APK signé. Je ne connais aucune fondation qui fasse cela. –
Vos utilisateurs vous ont-ils demandé quelque chose comme ça? parce que cela semble être une surcharge massive à moins que votre application demande des permissions douteuses pour une raison légitime. – stealthcopter
@stealthcopter: Aucun utilisateur ne s'est plaint, et je comprendrais si c'était le cas. La sécurité du logiciel n'est jamais exagérée. Sur mon ordinateur, j'installe uniquement des logiciels compilés par moi-même ou par quelques sources fiables; aucune raison d'être plus indulgent pour mon téléphone. –