Edukacja jest bardzo ważnym elementem budowania bezpieczeństwa użytkowników. Jest mozolna, długotrwała i łatwo ją zepsuć – tak jak pokazały właśnie duże firmy, które dla swoich zysków namawiają klientów do instalacji aplikacji spoza sklepu.
Netflix to kolejny gracz, zaraz po Spotify i Epic Games, który opuszcza oficjalne sklepy dostawców mobilnych urządzeń. Robi to, by nie płacić prowizji właścicielowi sklepu. Prowizji, która przy dużej skali sprzedaży idzie w miliony dolarów.
Skąd ten pomysł
Zacznijmy od genezy całej sytuacji. Wszyscy producenci aplikacji na urządzenia mobilne, którzy chcą dystrybuować swoje dzieła przez oficjalne kanały, takie jak sklep Google Play czy Apple Store, muszą oddawać ok. 30% swoich zysków dla właścicieli tych marek. Na początku były próby negocjacji z Google’em oraz Apple’em, aby obniżyć wartość myta, lecz zakończyły się one fiaskiem. Skoro pokojowe rozwiązania zawiodły, trzeba było przejść do ofensywy – dlatego duzi gracze postanowili wypisać się z interesu. Na początek Spotify i Epic Games, producent gry Fortnite, postanowili zmienić możliwość rejestracji i płatności, a teraz przyszedł czas na Netflixa. Wielka trójka zaczęła od zmiany sposobu tworzenia nowych kont i wnoszenia opłat przez oficjalne sklepy – wcześniej było to możliwe z poziomu zainstalowanej aplikacji na urządzeniu, teraz już tylko przez strony dostawców. Prawdopodobne jest również wycofanie aplikacji ze sklepów. W przypadku urządzeń z Androidem nie będzie z tym większego problemu, gdyż instalowanie aplikacji spoza środowiska jest możliwe, ale w przypadku iOS-u będzie to bardziej skomplikowane (a wręcz niewykonalne). Nasuwa się jednak pytanie: co z bezpieczeństwem użytkowników i dlaczego nie jest to do końca dobre rozwiązanie?
Jak to się ma do bezpieczeństwa?
Na naszych szkoleniach regularnie przypominamy użytkownikom, by nigdy, pod żadnym pozorem, nie instalowali aplikacji spoza sklepu producenta. Niestety w przypadku Androida nie gwarantuje to bezpieczeństwa. Złośliwe aplikacje znaleźć można także w sklepie (przykładem są chociażby ciągle powtarzające się ataki na użytkowników aplikacji BZ WBK, fałszywe aplikacje Netflixa z trojanem na pokładzie czy podrobione aplikacje Spotify, które omijają darmowe limity), ale generalnie aplikacje w sklepie są bardziej zaufane niż te z innych źródeł. Z kolei w urządzeniach Apple’a praktycznie nie ma możliwości instalacji aplikacji innej niż sklepowa (są jeszcze rozwiązania MDM, ale ich skala jest niewielka).
Edukacja użytkownika jest bardzo mozolnym procesem i gdy posiadacz Androida usłyszy od zaufanego podmiotu takiego jak np. Netflix „pobierz aplikację z naszej strony”, poczuje się zagubiony. To ma pobierać czy nie? To bez wątpienia wykorzystają przestępcy.
W pierwszym momencie po usunięciu możliwości płatności za subskrypcje przez Google Play czy Apple Store lub jeszcze w trakcie wdrażania zmian mogą nasilić się akcje phishingowe ukierunkowane na użytkowników wspominanych aplikacji. Wydaje się to jednym z prostszych ataków: „W związku z brakiem możliwości płatności przez Apple Store/Google Play informujemy, że płatności należy dokonywać przez naszą stronę: [fałszywy_link]” lub „Prosimy o wprowadzenie danych karty w związku ze zmianą systemu płatności” czy coś w stylu „W załączeniu znajdziesz fakturę za nasze usługi”. Podobne ataki były już przeprowadzane, a wprowadzane teraz zmiany mogą zwiększyć ich wiarygodność.
Mając powyższe na uwadze, prawdopodobne wydaje się również tworzenie fałszywych stron logowania, pomocnych w zdobywaniu danych uwierzytelniających użytkowników oraz danych kart płatniczych. Opisy podobnych kampanii phishingowych można znaleźć w internecie – przestępcy zbierali już zarówno dane kart, jak i dane logowania do kont na Netflixie.
Czy to się opłaca
Epic Games w marcu 2018 r. wprowadził swoją grę do Apple Store i do sierpnia zarobił ponad 200 milionów dolarów – widać, że oddanie 30% jest ogromną stratą. Netflix, który w 2017 r. zanotował zysk na poziomie ponad 550 milionów, również nie chciałby się nim dzielić. Mieć, a nie mieć – to zasadnicza różnica. Dane zebrane przez MacPaw zdają się potwierdzać, że nie każdy jest zadowolony z takiego rozwiązania, aż 30% dostawców wybiera alternatywny kanał dystrybucji aplikacji do Mac App Store (dla zainteresowanych – szczegółowy raport znajdziecie tutaj).
Co na to Google? Nie zdziwimy się, jeśli pójdzie śladem Apple’a i znacząco ograniczy dostęp do swojego ekosystemu, odbierając użytkownikom możliwość instalacji aplikacji spoza firmowego sklepu. Nie będzie w tym odosobnione – pojawiały się już wersje Windowsa bez możliwości instalacji programów innych niż sklepowe. Ten kierunek zmian, jak pokazał Apple, wydaje się być nieuchronny nie tylko, by zachować przychody oligopolistów, ale także by podnieść bezpieczeństwo nieświadomych użytkowników.
Dopóki wyżej wymienione aplikacje znaleźć można w sklepie, to gorąco rekomendujemy używanie wyłącznie tego kanału dystrybucji.
Komentarze
Przeciez zawsze mozna opublikowac aplikacje w oficjalnym sklepie, a platnosc robic za pomoca strony www czy to mobilnej czy tez w wersji desktop.
No właśnie o tym jest artykuł xD Spotify zachęca do kupna przez strone niż przez aplikację, Netflix tez to wprowadza czy wprowadził a producent Fortnite chce udostępniać APK przez swoją stronę dla Androida
Nie można. Regulamin sklepu nakazuje się dzielić.
Sklepy maja w regulaminie że nie mozna dokonywać platnosci pomijajac je bo grozi to usunieciem apki
Czyli jak kupiłem netflix przez internet ale zaczołem kożytsać z aplikacji to od dziś muszą się dzielić abonamentem?
Czy jak wezmę kredyt przez aplikację to bank też będzie musiał się podzielić prowizją?
Co za bzdury (również sam artykuł – co za bzdury).
Przecież sprawa znana jest od momentu rozpoczęcia walki Amazona z Apple o ebooki na iOS. Oficjalna appka Kindle umożliwia jedynie ściągnięcie zakupionych książek. Jeśli chce się kupić nowe trzeba wejść przez stronę. Nie wiem jak jest teraz, ale w pewnym momencie Apple zablokował możliwość otwierania strony z poziomu appki i trzeba było robić to ręcznie.
Podobne prawdopodobnie rozwiązanie może też być w stanie wymusić Google. Blokada dostępu do treści użytkownika zakupionych w oddzielnym kanale pachnie procesami antymonopolowymi – prawdopodobnie w USA, na 100% w UE.
Artykuł to też bzdury – pomija wspomniane spory, z oczywistymi i zaakceptowanymi rozwiązaniami. Autor wykazuje się niesamowitą ignorancją wobec otwartości platform i pomija wszelkie zagrożenie jakie niesie do dla konsumenta, który traci de facto kontrolę nad prawami do posiadanych programów. Trącąca reklamą wzmianka o zablokowanym na swobodną instalację Windowsie pomija ZUPEŁNIE gigantyczną wrzawę jaką spowodowały te propozycje i opór wielkich software house’ów. Jednym z widocznych efektów jakie to spowodowało było chociażby silne wsparcie Linuksa przez Valve.
Naprawdę żenada czytać takie coś z tak wieloma półprawdami i pominiętymi faktami podlane sosem dbałości o „bezpieczeństwo użytkownika”
Nie. W regulaminie Google jest to tak sformułowane, że nie może być płatności za wejście do aplikacji. Czyli jeśli masz podstawowe funkcje bezpłatne to aplikacji nie powinni usunąć. A tak ma na np. Fortnite.
Nie widzę problemu jakby te aplikacje były open source, ale jak jest…każdy wie.
Taki problem przeskanować plik apk chcoiażby pod virus total albo dowolnym innym antywirusem pod Androida, przed rozpoczęciem instalacji i uważnie czytać upranienia jakich domaga się apliakcja? Nie popadajmy w paranoję.
Antywirus Ci nie pomoże na nowe ataki.
Ale nie oto chodzi.
Co tu zrobić by obydwie strony były zadowolone i my.
Apple od zawsze, w przeciwieństwie do Google’a :)
Trochę błędne myślenie, że firma straciła 30% z 200 milionów dolarów. Oni zarobili 70% z 200 milionów. Gdyby nie Google to nie mieliby gdzie zarobić, więc tylko zyskali. Nic nie stracili.
Miałbyś rację gdyby chodziło o małych nieznanych developerów, w przypadku tak znanych marek twój argument to bzdura.
Siejecie ferment, żaden z nich nie zachęca do instalowania nie wiadomo skąd tylko że swojej strony (producenta).
O czym jest ten artykuł? O tym, że hermetyzowane ekosystemy dystrybucji są czymś „dobrym” i „bezpiecznym”? Przecież to stwierdzenie to żart. Jakim cudem popieracie swoją tezę, że „to jest przyszłość”, bo pokazało to „Apple”, a najpopularniejszym systemem operacyjnym na świecie – jest k. Windows i to się prędko nie zmieni?
Android i iPhone są tak ściśle hermetyzowane nie dlatego, że jest to lepsze, efektywne i bezpieczniejsze, tylko dlatego, że w czasach kiedy te twory powstawały 99% stron internetowych nie było przygotowanych do pracy na urządzeniach mobilnych. Było to złe, toporne i upośledzone, koniecznym stało się wprowadzenie systemu do montowania aplikacji, ale czytelnego i dobrze sprecyzowanego. I co? To wyjaśnia, że ten system jest lepszy?
Wpisuje w robocie google „cośtam .apk” i mam znacznie więcej wyników, niż z oficjalnego sklepu, bo powstaje cholernie dużo aplikacji opensourcowych do andka, tak jak powstało do windowsa czy do linuxa i oferują możliwości, które potem ktoś wprowadza do oficjalnego sklepu i każe sobie za to płacić, wsadzając dodatkowo masę reklam. Żal.
Obecnie, w moim odczuciu, sklepu Androida i iPhona posiadają miliony aplikacji, z czego 95% to nic nie warty syf. Gry obecnie to klony rozwiązań sprzed 6 lat, nic nowego, nic ciekawego. Jeżeli ktoś w końcu, ruszyłby głową i zrobił intreface instalacyjny między stroną internetową-telefonem z androidem za pomocą np. ramki kodu w HTML5 z weryfikacją MD5, tak, żeby to działało z poziomu przeglądarki, to mam głęboko gdzieś jakikolwiek sklep oficjalny.
Apple i Google robią te same automatyczne sprawdzanie aplikacji. Różnica jest taka, że Apple inne części tego procesu nie ma zautomatyzowane i można czekać tygodniami na publikację.
Natomiast Apple ma zaporowe, roczne opłaty za sklep. Dlatego ogólnie jest mniej aplikacji na iOS, bo wydanie małej, darmowej aplikacji jest po prostu nie opłacalne. Mniej aplikacji ogólnie, to i mniej „złych” aplikacji. Proste.
Hmmm … trochę naciągana teoria. O ile jeszcze z iOS to jako tako ten ich sklep działa, to już w przypadku Google powiedzieć tego nie można i trochę sami sobie przeczycie. Według mnie, aktualnie (być może się to w końcu zmieni) pobranie aplikacji mobilnej dla systemu Android ze strony producenta czyli Netflix, Spotify, Epic jest o wiele bardziej bezpiecznym rozwiązaniem niż pobieranie jest z wylęgarni wirusów zwanej Google Play. Przeglądnijcie sami swoje archiwum ile razy już pisaliście o lewych aplikacjach w Google Play i ile razy były linki w weekendowej lekturze a teraz stawiacie tezę, że ze strony to źle? Przecież znając życie właśnie pobierając z Google Play jest dużo większe prawdopodobieństwo instalacji malware niż ze strony producenta.
No sorry, ale akurat google play ma sporo za uszami jeżeli chodzi o lipne aplikacje.
Z kolei w urządzeniach Apple’a praktycznie nie ma możliwości instalacji aplikacji innej niż sklepowa (są jeszcze rozwiązania MDM, ale ich skala jest niewielka).
Z tego co wiem to nie jest do końca prawda, można zainstalować aplikacje spoza sklepu jednakże wymaga to zaakceptowanie certyfikatu developera (i posiadanie go przez tego developera). Ale nie jest to jednoznaczne z MDMem
ten artykuł śmierdzi na kilometr bycie opłaconym przez google, bo jak to tak ktoś śmie śmieć robić na androidzie coś poza google
Faktycznie, Google obsypuje nas złotem za to że każdemu rekomendujemy iPhony ;)
Prawdę mówiąc, ta hegemonia Androidowo-iPhonowa już jest nudna. Jestem ciekaw czemu nie biorą się za to urzędy antymonopolowe.
Bedzie to wkladanie kija w mrowisko, ale faktem jest ze bezpieczenstwo zawsze bedzie duzo mniejszym priorytetem niz biznes (zyski z biznesu).
Tak zawsze bylo i bedzie, branza bezpieczenstwa w 99% przypadku jest jedynie dodatkiem ktory ma zapobiegac stratom. Pomijajac firmy tworzace produkty produkty zwiazane z bezpieczentstwem.
Nie po to kupuje się smartfona, aby blokować instalację aplikacji spoza sklepu producenta. Jeżeli mamy potrzebę z takich korzystać — dlaczego mielibyśmy tego nie robić? Instaluję aplikacje z F-Droida i chyba nic mnie nie zainfekowało ;)
Dlaczego udostępnienie apk ma obniżać moje bezpieczeństwo? Czuję się bezpieczniej, korzystając tylko z fdroida i mając odinstalowane usługi google. Swoją drogą to model taki sam jak na windowsie, może wreszcie mobilne antywirusy się do czegokolwiek zaczną przydawać
Ale głupoty w tym artykule. Jak płacę Blikem to też Google/Apple zgarnia 30%? Płatność realizowana jest przez apkę. Albo jak kupuję cokolwiek przez Firefoxa/Chrome mobilnego?
Prowizja jest za płatności realizowane przez sklep czyli formę płatności(tak jak w przypadku Payu czy Przelewy24 albo Visa,Mastercard) a nie za zysk/kwotę.
Raczej 30% zysku z użytkowania sklepu…
Dziwny artykuł :/
Że niby dla „bezpieczeństwa maluczkich” fajnym jest aby dawać monopol jednej firmie na dyktowanie warunków co znajdzie się w „oficjalnym” sklepie ? To ja już podziękuję za takie bezpieczeństwo. Jego koszt jest zbyt wysoki.
„Epic Games w marcu 2018 r. wprowadził swoją grę do Apple Store i do sierpnia zarobił ponad 200 milionów dolarów – widać, że oddanie 30% jest ogromną stratą”
To zdanie stawia sprawę na głowie!
Bo czy Epic Games zarobiłby owe 200mln zielonych gdyby ich gra nie była w Apple Store?
Gdyby policzyli i im wyszło, że bez obecności na Apple Store zarobiliby 140mln, to obecność tam jest im niepotrzebna. Ale jeżeli mniej, to można powiedzieć, że coś jednak zawdzięczają Apple’owi.
I dlatego Google się wkurzyło ;) https://securityaffairs.co/wordpress/75665/hacking/fortnite-android-app-mitd.html