Poco a poco vamos conociendo más detalles profundos de Android M, mejoras internas que no se ven en la presentación inicial pero que han sido diseñadas para mejorar aspectos tan importantes como la seguridad o la gestión de recursos del sistema.
La nueva versión de Android ya ha ido desvelando muchas novedades en manos de los desarrolladores, pero hasta ahora no se había prestado especial atención a las mejoras de seguridad, como el endurecimiento de la validación de APKs implementado por Google.
Algunos pensarán si no se hacía esto ya, y es cierto que Android ya valida los APK instalados desde siempre, aunque a partir de Android M se añadirá una validación estricta que buscará prevenir retoques indeseados en las aplicaciones instaladas.
Hasta ahora, el sistema de validación de APK revisaba sólo la firma SHA-1 de cada fichero dentro del paquete, y comparaba los datos contra el archivo "manifest.mf" generado automáticamente durante el proceso de firma. Este protocolo sirve para comprobar que los archivos no hayan sido modificados, una validación obvia que impedirá la instalación de software malicioso insertado dentro del APK.
Sin embargo, el sistema operativo no validaba archivos contemplados en el "manifest.mf" y que no estuviesen presentes en el paquete APK, lo que hacía posible modificar un paquete de instalación eliminando ficheros relacionados con la seguridad, DRM u otros aspectos sensibles de las aplicaciónes.
Éste es precisamente el hueco que ha tapado Google al respecto de la seguridad en la validación de APKs, pues a partir de ahora será necesario que todos los ficheros presentes en el manifiesto lo estén también en el APK con una firma coincidente.
No sabemos si la propia Google encontró algún problema grave o simplemente han implementado un chequeo que, por tonto, era tontería no realizar tapando el mínimo resquicio que pudiese comprometer la seguridad de los dispositivos.
En Xataka Android | La comunidad ya se mueve con Android M, llega el primer 'port' a la Nexus 7 (2012) Vía | Android Police