不明なソースからダウンロードしたAPKファイルをインストールすることを選択した場合、追加の権限なしでキーストロークを記録したり、マルウェアをインストールしたりできますか?
現在、ユーザーはアプリをインストールするときにインターネットのアクセス許可を付与する必要はありません。たとえば、SoundcloudまたはSpotifyをGoogleプレイストアからダウンロードした場合、アプリケーションにインターネットアクセスを許可するように求められることはありません。
インターネットアクセスは感染するのに十分なだけですか?ここでプライバシーが問題にならない限り、アプリが不安定であるかどうか、または多くのリソースを使用するかどうかは気にしません。
アプリがテキスト入力に明示的に使用するキーボードタイプのアプリでない限り、キーストロークをログに記録できる可能性はほとんどありません。これを実現するために正当なキーボードアプリがリバースエンジニアリングされ、Playストア以外のソースからの「クラックされた」コピーとして配布された概念実証アプリがあります。
https://m.theregister.co.uk/2013/03/25/Android_security_omnishambles/
正確なデバイスモデルによっては、パッチが適用されていない脆弱性があり、権限に関係なくanyアプリで悪用される可能性があります。最新のネクサス電話は通常、十分にパッチが適用されています...他のすべての人...十分なサポートはパッチに適用されています。
https://www.google.co.uk/amp/www.androidauthority.com/Android-oem-update-speed-743073/amp/
理論的には、インターネット権限を持つアプリは、追加の悪意のあるペイロードをダウンロードしてダウンロードできますが、元のアプリがアクセスできなかったものにはアクセスできませんでした。
Playストアでの最初の審査に合格したマルウェアの例は数多くありますが、少なくとも苦情の後に削除されます。
Amazonは別のアプリストアを提供しており、おそらく信頼できるgoogleと言えるでしょう。他の情報源から、それが本当であるように思えるなら、それはおそらく本当です。
システムの脆弱性を悪用して悪用するアプリは非常に危険な場合があり、「疑わしい」権限を必要としません。
公式のPlayストアからダウンロードしたアプリは、ウイルス対策スキャンを含むいくつかの(文書化されていない)検証プロセスを受けますが、最も重要なのは、そのような脅威の監視に特化したGoogleまたは他の組織によって悪意のあるアクティビティが検出されるとすぐに禁止されます。これは、Playストアからインストールするアプリが害を及ぼさないことを確認できるという意味ではありませんが、リスクは外部で著しく高くなります。
信頼できないサイドローディングされたアプリが必要な場合はアンチウイルスアプリを用意することをお勧めします。可能であれば、重要なデータを保持していないセカンダリデバイスでそのようなアプリを使用してください。
また、Androidは多くの脆弱性を修正するために常にアップグレードされているため、最新のシステムの方が安全な場合があります。可能であれば、最新のシステムを使用してください。
Playサービスの一部であるGoogleの アプリの確認 を使用します。一部の有害なアプリを特定できます。これは、Googleサービスがインストールされ、最新の状態のデバイスを使用する価値があることを意味します。