Xamarin.Android и загружаемый пользователем исполняемый код (.dll)

Question

У меня есть вопрос, касающийся этой ключевой точки политики злонамеренного поведения.

• Приложения или SDK, которые загружают исполняемый код, например, dex-файлы или собственный код, из источника, отличного от Google Play.
  
  Приходит ли приложение к этой категории, если пользователь может использовать его для загрузки и запуска сборок .NET (IL) из галереи NuGet? Более конкретно: Xamarin. Привязки Android.
  Сборки .NET сами по себе должны попадать в категорию «JavaScript» или «код, который выполняется на виртуальной машине и имеет ограниченный доступ к API-интерфейсам Android».
  
  Однако привязки Android содержат собственный исполняемый код, который технически можно считать потенциально вредоносным. Простым примером будет загрузка нативной привязки, такой как «Refractored.GifImageView». Который просто удобная библиотека.
  
  Само приложение является образовательным инструментом для C #. Он компилирует и запускает пользовательский код C # на своем устройстве.

Answer 1

Я не говорю о политике Google Play, но думаю, что это крайне маловероятно. В Google Play действует эта политика для защиты пользователей Android от вредоносного кода. Заставление разработчиков приложений помещать весь свой код в APK имеет два преимущества:

• позволяет командам Google по поиску вредоносных программ до публикации приложения, поэтому защищайте пользователей
• предотвращает случайные пробелы в безопасности разработчиков, когда атакованный может атаковать сеть или сервер, и создает произвольный код для выполнения пользователем на устройстве, даже если первоначальный разработчик не намеревался совершить что-либо вредоносное. В прошлом разработчики приложений допускали множество ошибок в этой области.

Загрузка произвольных пакетов из NuGet во время выполнения звучит так, как будто это было бы чрезвычайно опасно с обеих сторон, и поэтому я подозреваю, что политика Google Play не допустит этого.

Рассматривали ли вы новую функцию Google Play динамическая доставка , чтобы выполнить то, что вы хотите?

Answer 2

Ну, это в первый раз, в основном политика злонамеренного поведения гласит, что

Приложения или SDK, которые загружают исполняемый код, такой как файлы dex или собственный код, из источника, отличного от Google Play

Но вам, похоже, не хватает того, что эта политика применяется, когда ваше приложение загружает исполняемый файл, т.е. исполняемый файл. (Акцент на приложении)

Теперь, когда вы говорите о пакетах nuget, ваше приложение не загружает пакеты nuget, оно в основном загружается vs, затем, когда вы создаете apk, оно конвертируется в исполняемый файл Java Android, т.е. APK теперь этот apk не загружает ничего в приложение уже загружено и встроено, поэтому политика «вредоносного поведения» не применима в вашем сценарии.

Надеюсь, это поможет, Возврат в случае запросов