Google은 Android 애플리케이션을 위한 공개 검증 시스템을 도입하여 공급망 공격을 차단하고자 합니다. 이 도구는 개발자와 사용자가 공식 앱이 설치 전에 변조되지 않았는지 독립적으로 확인할 수 있도록 합니다. 코드의 출처와 무결성을 인증하는 암호화 서명을 기반으로 하며, Google Play에서 배포되는 소프트웨어의 악의적인 수정을 어렵게 만듭니다.
Android에서 암호화 검증이 작동하는 방식 🔒
이 시스템은 디지털 서명을 사용하여 각 APK가 합법적인 개발자로부터 제공되었으며 변조되지 않았음을 보장합니다. 개발자는 개인 키로 애플리케이션에 서명하고, Google Play는 배포 전에 공개 키를 기준으로 해당 서명을 확인합니다. 사용자는 공개 지문 레지스트리를 조회하여 패키지의 무결성을 확인할 수 있습니다. 이 프로세스는 악의적인 행위자가 인기 있는 앱에 탐지되지 않고 악성 코드를 주입하는 것을 어렵게 만들어 플랫폼 전체의 보안을 강화합니다.
깜짝 선물(생일 선물 아님)이 있는 APK와의 작별 🎉
드디어 개발자들은 자신의 손전등 앱에 암호화폐 채굴기가 포함될 악몽 없이 편히 잘 수 있게 되었습니다. 이제 사용자가 앱을 다운로드할 때, 고양이 사진을 염탐하거나 구매 내역을 판매하는 등의 원치 않는 추가 기능이 포함되지 않았는지 확인할 수 있습니다. 물론, 앱을 설치하고 트로이 목마가 아니길 기도하는 위험을 그리워하는 사람들을 위해 서드파티 스토어라는 옵션은 항상 남아 있습니다.