App "ChecKey" chiarimento sulla seguente funzione

[Pulcepiccola]

Carissimi, grazie per avermi fatto conoscere questa app. "Checkey" per la verifica delle firme di una qualsiasi applicazione. Ho visto che questa applicazione ha anche una funzione chiamata Package Name, però non ho capito a cosa serve e come si usa, vi posto lo screenshot, se potete, gentilmente, spiegarmela.
Grazie mille
Buona serata
Pp

[Ganondolf]

Il package name è il nome interno delle applicazioni (o più in generale di tutto ciò che è scritto in java). Ad esempio il package name di Adobe Reader è com.adobe.reader, quello di chrome è com.android.chrome, quello dell'app vodafone è it.vodafone.my190, etc.
Non è in generale esposto all'utente, ma è usato da altre app come identificativo al posto del nome

[Pulcepiccola]

Grazie mille Ganondolf,
per il chiarimento. Siccome sto provando l'app Checkey e nello screenshot allegato al post precedente, leggo APKScanner, mi stavo chiedendo se questa funzione serve per analizzare una applicazione dal punto di vista di eventuali malware?
Grazie
Notte
Pp

[Pulcepiccola]

Grazie mille Ganondolf,
per il chiarimento. Siccome sto provando l'app Checkey e nello screenshot allegato al post precedente, leggo APKScanner, mi stavo chiedendo se questa funzione serve per analizzare una applicazione dal punto di vista di eventuali malware?
Grazie
Notte
Pp

Ad esempio ho fatto l'analisi per ChompSMS e vi allego il risultato, potreste darmi una mano a capire come si legge questo report?
Pare venga fatta una scansione anti virus? Leggendo il rapporto allegato si fa riferimento a dei virus, ma ChompSMS è infetta?

Grazie mille per il vostro aiuto
Serena notte
Pp

[CUB3]

La funzione "Package Name" (nome davvero poco felice e che genera malintesi... ) di Checkey non fa altro che una ricerca del nome del pacchetto selezionato sul sito www.apkscan.org.

Lo scopo di tale sito è verificare se un'app contiene un virus e se la firma corrisponde all'originale.
Per verificare la presenza di virus utilizza VirusTotal che, come sappiamo, a sua volta utilizza diversi motori di scansione, alcuni dei quali non proprio affidabili e che possono generare falsi positivi... Per verificare se la firma è corretta utilizza un database interno che non è proprio la migliore soluzione possibile... Insomma, secondo me, questo servizio lascia un po' il tempo che trova perchè se può aiutare a identificare in maniera certa un'app malevola non toglie certo il dubbio per app di cui non siamo troppo sicuri e anzi può generare inutili timori anche su app che sono invece assolutamente sicure (basta vedere cosa pensa di AdAway scaricata da F-Droid).

Comunque, quello che hai fatto è stato cercare il nome del pacchetto di ChompSMS e apkscan ti ha restituito le precedenti scansioni eseguite su pacchetti con lo stesso nome. Nel risulatato mostrato, possiamo vedere che le applicazioni scansionate provenivano da www.1mobile.com (quelle arancioni) mentre quella viola è sicuramente un virus!

Per concludere, se hai scaricato le app sempre da fonti affidabili, non preoccuparti troppo di quello che trovi scritto su apkscan!!

[Pulcepiccola]

Ah ok grazie mille Cub3, io pensavo facesse la scansione del pacchetto di ChompSMS residente sul mio telefono, invece si tratta di pacchetti scaricati(da 1mobile colore arancione) e da contagio(colore viola). In buona sostanza l'informazione che da questa funzione potrebbe sintetizzarsi così? " se ChompSMS non l'hai scaricato da 1mobile e da contagio e quindi se la firma digitale (supponiamo MD5 dell'applicazione che ho sul telefono) è diversa da quella usata per firmare i pacchetti scaricati da 1mobile e da contagio, potrei stare abbastanza sicuro che la mia applicazione (nell'esempio ChompSMS) che ho sul telefonino è pulita(cioè priva da virus)
Ho capito bene?

Ma vorrei chiederti,( per avere un riscontro se ho capito bene) , quando scarichiamo una applicazione (prendiamo sempre l'esempio di ChompSMS) la prima cosa da fare è vedere la fonte: È attendibile?
(attendibile =riconosciuta tale da chi? Dagli utenti del web?)

1)ad esempio questo è un elenco di fonti attendibili,
F-Droid;
YalpStore;
ApkMirror;
.....
perché?

poi prima di installare il pacchetto sul telefono (facendo doppio clic sul file .APK )fare una scansione su Virus Total analizzarne l'esito e poi successivamente verificare se la firma del pacchetto (per trovare la firma uso Checkey") corrisponde a quella con cui l'autore dell'applicazione ha firmato l'applicazione stessa, così da essere sicuri che il pacchetto che ho scaricato, mentre viaggiava attraverso la rete, non ha subito modificazioni /manomissioni da parte di malintenzionati. È esatto?
In soldoni ad esempio con l'ausilio di "Checkey " ho scoperto che ChompSMS che ho installato sul mio telefono non l'ho scaricata da F-droid, in quanto alla voce Soggetto non è riportato, come si nota dallo screenshot,

il nome F-droid, (probabilmente l'avrò scaricata o da ApkMirror o da Yalpstore, adesso non ricordo) come faccio a verificare se è esente da Virus e se la firma mostrata da "Checkey" corrisponde alla firma con cui l'autore ha firmato l'app?Bisognerebbe sapere qual'è la firma originale dell'autore?
Ti ringrazio molto Cub3 per i tuoi chiarimenti.
Un caro saluto
Buona giornata
Pp

[CUB3]

Ah ok grazie mille Cub3, io pensavo facesse la scansione del pacchetto di ChompSMS residente sul mio telefono, invece si tratta di pacchetti scaricati(da 1mobile colore arancione) e da contagio(colore viola). In buona sostanza l'informazione che da questa funzione potrebbe sintetizzarsi così? " se ChompSMS non l'hai scaricato da 1mobile e da contagio e quindi se la firma digitale (supponiamo MD5 dell'applicazione che ho sul telefono) è diversa da quella usata per firmare i pacchetti scaricati da 1mobile e da contagio, potrei stare abbastanza sicuro che la mia applicazione (nell'esempio ChompSMS) che ho sul telefonino è pulita(cioè priva da virus)
Ho capito bene?

La tua interpretazione è piuttosto semplicistica! Non è assolutamente detto che se la firma dell'applicazione che hai installato te non è presente su apkscan, quella sia un'app priva di virus!! È esattemente per questo che ti ho detto che apkscan lascia un po' il tempo che trova!!

Ma vorrei chiederti,( per avere un riscontro se ho capito bene) , quando scarichiamo una applicazione (prendiamo sempre l'esempio di ChompSMS) la prima cosa da fare è vedere la fonte: È attendibile?
(attendibile =riconosciuta tale da chi? Dagli utenti del web?)

1)ad esempio questo è un elenco di fonti attendibili,
F-Droid;
YalpStore;
ApkMirror;
.....
perché?

Secondo te, io sono una fonte attendibile o no?
L'affidabilità e o attendibilità sono qualità che si guadagnano con una certa costanza di comportamento. Ritengo per tanto tutte le fonti da te elencate (che in un recente passato io stesso ti ho suggerito) siano affidabili perché, nel tempo, hanno dimostrato di esserlo, ognuna a suo modo.
Ti chiedo anche un'altra cosa: secondo te, il Google Play Store, che è la via ufficiale per reperire ed installare le app, è da considerarsi una fonte affidabile o no? In passato sono stati molti i malware distribuiti tramite questa piattaforma...

poi prima di installare il pacchetto sul telefono (facendo doppio clic sul file .APK )fare una scansione su Virus Total analizzarne l'esito e poi successivamente verificare se la firma del pacchetto (per trovare la firma uso Checkey") corrisponde a quella con cui l'autore dell'applicazione ha firmato l'applicazione stessa, così da essere sicuri che il pacchetto che ho scaricato, mentre viaggiava attraverso la rete, non ha subito modificazioni /manomissioni da parte di malintenzionati. È esatto?

Sei appassionato di fantascienza?? ... Cerchiamo di non essere paranoici, per favore, perché se no, non si vive più!!!
Le connessioni utilizzate da Yalp Store e (credo) anche ApkMirror sono tutte connessioni sicure HTTPS quindi mi sbilancio dicendo che una modifica "al volo" è, non solo molto improbabile, ma addirittura impossibile!!!

In soldoni ad esempio con l'ausilio di "Checkey " ho scoperto che ChompSMS che ho installato sul mio telefono non l'ho scaricata da F-droid, in quanto alla voce Soggetto non è riportato, come si nota dallo screenshot,

il nome F-droid, (probabilmente l'avrò scaricata o da ApkMirror o da Yalpstore, adesso non ricordo) come faccio a verificare se è esente da Virus e se la firma mostrata da "Checkey" corrisponde alla firma con cui l'autore ha firmato l'app?Bisognerebbe sapere qual'è la firma originale dell'autore?

Qui si parla di nuovo di affidabilità (o attendibilità). Se hai installato l'app tramite Yalp Store o tramite ApkMirror puoi essere sufficientemente sicuro che la firma è quella originale dell'autore. Ogni ulteriore verifica è a mio avviso superflua!!

Due parole sulla scansione di VirusTotal: se ti fa essere più sicuro puoi anche farla, ma secondo me genera solo maggior confusione. Se un app è rilevata come virus (anche se sarebbe meglio utilizzare il termine "malware") dalla metà dei motori e dagli altri no, quell'app come si dovrebbe considerare?? Se invece è rilevata come virus solo da 10 (su 61!), possiamo stare tranquilli??

[Pulcepiccola]

Caro Cub3,ciao,
in effetti non bisogna essere troppo pignoli:) questi argomenti mi incuriosiscono però , come giustamente dici, bisogna dare il giusto valore, senza esagerare. Ti ringrazio per i tuoi chiarimenti e per la tua pazienza. Per rispondere alla tua domanda, per me, che prima seguivo Megalab e poi Turbolab, siete veramente molto preparati ed ovviamente siete tutti attendibili e anche grazie a te Cub3, ho imparato moltissime cose.
Da quel lontano 2010 ad oggi grazie a voi qualcosina l'ho appresa.
Grazie per quello che fate
See you soon

Pp