Jak bezpečné je používat Aptoide?

Stejně jako u nejnovější aktualizace pro Google Play , nyní se již zobrazuje úplný seznam oprávnění požadovaných aplikací při instalaci / aktualizaci 1 , cítím napadení mého soukromí. Ještě horší je, že aplikace mohla získat další oprávnění s aktualizací, aniž by uživatel věděl 2,3 .

Takže hledám alternativy.

TL; DR:

Vím, že jsme Jaké jsou alternativní trhy aplikací pro Android? , ale a) to je víceméně seznam dalších trhů (bez udání pozadí) 4 ab) to ani nezmiňuje Aptoide .

Já ne “ Nechci jinou aplikaci, která musí běžet na pozadí trvale, aby “ zkontrolovala platnost licence „, takže věci jako Amazon Appstore nebo AndroidPIT jsou venku. AppBrain je jen další frontend pro Google Play – tak hezké, že to problém nevyřeší, pokud jde o instalace a aktualizace aplikací, musí se přesměrovat na Google Play – což se chystám “ uprchnout „.

Před několika dny jsem již F-Droid zkontroloval a cítím, že to docela odpovídá mým potřebám (postupujte odkaz pro podrobnosti) – ale s jen asi 1 200 aplikacemi (k 6/2014) to ponechává příliš mnoho mezer.

Aptoide na druhém konci údajně slouží aktuálně více než 120 000 aplikací . Jak název napovídá, používá APT úložiště typu, na která jsem zvyklý z Linuxu (Debian a jeho deriváty). Dokonce vám umožňuje mít vlastní soukromé repo ke sdílení aplikací mezi zařízeními (nebo s přáteli). Všechny aplikace jsou nabízeny zdarma, takže není třeba “ licenční server „. Ale jak bezpečné je to pro koncového uživatele? Hodně jsem googloval (a vyhýbal se) hodiny, ale nemohl jsem najít jakýkoli zdroj o tom. Místo toho jsem našel spoustu odkazů typu “ získejte placené aplikace zdarma „, “ černý trh “ a další věci zaměřené na pirátství – což rozhodně není to, co sleduji. Jsem více než otevřený platit za dobré aplikace 5 , takže “ jejich získání zdarma “ není záměrem mé otázky. Stejně jako F-Droid , i Aptoide má několik úložišť – ale nemohl jsem přijít na to, zda existuje “ důvěryhodný “ hlavní úložiště jako u F-Droid .

V popisu balíčku jsou k dispozici související informace (např. tento ) označující bezpečnostní opatření, jako je skenování malwaru, ověření podpisu a ověření třetí stranou. Ale jak ukazuje odpovídající webová stránka , zdá se, že se tyto informace alespoň částečně spoléhají na zpětnou vazbu od uživatelů (kterou lze předstírat / manipulovat), nebo nejsou ani prezentovány uživateli (informace o balíčku, např. názvy 3 skenerů použitých ke kontrole, nemohu tyto informace najít na webové stránce). I když bych mohl vyhledat věci přes informace o balíčku, nemohu se zeptat např. moji rodiče starší 70 let, aby tak učinili. Na této stránce program Aptoide také upozorňuje na výsledky jejich bezpečnostních opatření a výslovně uvádí:

Platforma Aptoide Anti-Malware analyzuje aplikace za běhu a zakazuje potenciální hrozby ve všech obchodech.

(důl důrazu) – což naznačuje ochranu před malwarem srovnatelnou s ochranou Google Play (jak jde to spolu s těmi “ fámami o černém trhu „? Možná prostě neodstraní urážlivé aplikace , ale pouze označit je místo toho?).

Takže konečně

Otázka:

Existuje způsob, jak bezpečně použít Aptoide jako zdroj pro aplikace? Pokud ano, jak? 6 Pokud ne, proč ne?

Bonusové body za “ idiot proof “ způsob, který lze doporučit méně zkušeným uživatelům.


Poznámky

1 Vím, že by bylo možné otevřít webovou stránku aplikace Obchod Google Play , procházet ji a po nalezení kliknout na příslušný odkaz – ale nemůžete zavolejte tomu uživatelsky přívětivě nebo očekávejte, že to uživatelé budou dělat při každé aktualizaci.
2 napřpři první instalaci požadoval “ nic netušící “ READ_PHONE_STATE s obvyklým zdůvodněním. S aktualizací by mohla požadovat CALL_PHONE, PROCESS_OUTGOING_CALLS a další – a aplikace Play by to nepřinesla, protože patří “ stejná skupina „.
3 Aby bylo možné zjistit “ nová oprávnění „, bylo třeba porovnat oprávnění nainstalovaná verze s verzemi této. Bavte se!
4 Právě jsem upravil dvě odpovědi a přidal několik podrobností na AppBrain a F-Droid k vyplnění těchto mezer
5 Koupil jsem si mnoho aplikací na Google Play (nebo daroval dev přímo), a např F-Droid má tlačítka darování na stránce každé aplikace, která to umožňují
6 Dokážu si představit, že budu znát (a omezovat vaše použití) “ bezpečné úložiště Aptoide “ ale jak jsem napsal, nemohl jsem přijít na to, které považovat za “ bezpečné „. Článek Aptoide na Wikipedii naznačuje, že existuje „sa “ výchozí repo “ při instalaci a další repozitáře je třeba přidat ručně; mohlo by se tedy držet toho prvního, který je bezpečný.

Komentáře

  • myslím obchod s aplikacemi je stejně bezpečný jako vaše důvěra pro kurátory nebo (v případě zcela otevřeného obchodu s aplikacemi) pro vývojáře, kteří aplikace odesílají. IMHO pro Aptoide ‚ d je v “ stejně bezpečné jako kategorie aplikace devs „. Ale to ‚ s, protože nevím nic o zájmech kurátorů. Doufal bych, že i když jen ztěžovali zjišťování, zda aplikace dev žádá více než o předchozí verzi, Google má skutečný zájem nemít škodlivé aplikace se šíří napříč jejich ekosystémem. Nejste si jisti ‚ s motivy.
  • Děkujeme za komentáře! Co se týče Google Play, ‚ se tolik nezajímám o “ škodlivé aplikace “ v zdravém slova smyslu (i když několik jich občas projde ovládáním Google ‚ s), ale spíše pro “ data collectors “ a podobně (přičemž Google je jedním z největších). A proto, že si nejsem jistý Aptoidem, je důvod, proč se mě ptám na tuto otázku 🙂 Nechci ‚ problém nahradit jiným. A já chci jistě vědět, co mohu doporučit ostatním.
  • Ach, svině, omylem jsem to označil, moji omluvu! Na druhé kartě to byla otázka přetečení zásobníku. To je moje ‚ narážka!
  • Vynechali jste důležitý bod – nabízí Aptoide dokonce proces upgradu aplikace, který vás upozorní na změny oprávnění? Vzhledem ke zjevnému poklesu zabezpečení a bezpečnosti při používání decentralizované a pirátské infrastruktury by měla nabídnout i jiné výhody než to, že nejste Google. Pokud se ‚ obáváte záludného sběru dat, říkám vám ‚ ‚ re ve větším nebezpečí při získávání aplikací z obchodu s aplikacemi nahranými hromadně a nikoli vývojáři (a případně upravenými).
  • @ProjectJourneyman Google Play ‚ t poskytnout takové rady při aktualizaci (pokud jsou do “ stejné skupiny “ přidána nová oprávnění). Protože Aptoide, F-Droid a další jsou “ trhy třetích stran „, musí vždy vyvolat “ místní instalační balíček „, který vám zobrazí všechna oprávnění aktualizované / nainstalované aplikace před můžete pokračovat v instalaci. Bohužel však nejde o “ diff “ aktuální verzi.

Odpověď

Děkujeme, že jste položili tyto otázky. Zde je několik informací o Aptoide, které, jak doufám, jsou užitečné pro vás a komunitu Stackexchange / Android:

  1. Malware je něco, co bereme velmi vážně.V současné době máme 3 různé systémy pro detekci malwaru, jakmile dorazí do libovolného obchodu s aplikacemi využívajícími Aptoide:
    • v běhu provozujeme 3 různé antivirové programy v emulátorech
    • máme interní systém podpisů pro detekci opakujících se hrozeb
    • implementovali jsme řetězec důvěry založený na podpisu vývojáře
  2. úkol vytvořit bezpečné prostředí pro koncového uživatele je pohyblivým cílem. Spolupracujeme s několika univerzitami a výzkumnými středisky a v nedávném článku (dosud nepublikovaném) se dobře porovnáváme s ostatními obchody s aplikacemi. Navrhli jsme také evropský výzkumný projekt se 2 antivirovými společnostmi a 3 univerzitami / výzkumnými centry, který se bude zabývat tímto tématem. Je třeba udělat hodně práce a je důležitá zpětná vazba komunity.
  3. F-Droid je ve skutečnosti velmi podobný Aptoide. Jsou vidličkou Aptoide a udržují všechny koncepty, které jsme vyvinuli, jako několik obchodů. Mají centralizovanější přístup a centrální podpis, který se samozřejmě liší od našeho přístupu.
  4. V Aptoide máme známku „Důvěryhodný“. Pokud v aplikaci uvidíte Důvěryhodné razítko, jsme si na 99,99% jisti, že aplikace neobsahuje hrozbu pro koncového uživatele.

Nejlepší,
Paulo Trezentos (Aptoide spoluzakladatel)

Komentáře

  • Moc děkuji za podrobnosti, Paulo! I když jsem toho tolik očekával, ‚ Je dobré mít tyto podrobnosti z první ruky. Existuje něco, co by se dalo říci o tom, která úložiště jsou považována za “ bezpečnější “ / “ main “ (jako centrální ve F-Droidu – který kromě toho je IMHO jediný, kdo používá centrální podpis, zmíněné v 3.), doporučeno “ opatrnějšímu uživateli “ – nebo jsou všichni podobní? A co ti “ černé trhy “ Aptoide je tak často příbuzný? A je “ důvěryhodný “ razítko 4. nějakým způsobem zakódováno v XML, který jsem ‚ zmínil (třeba např. automaticky zjištěno skriptem)?
  • @ všechny Chybějící podrobnosti mi byly zaslány poštou, paralelně s příspěvkem Paula ‚ zde. Najdete je shrnuté v mé odpovědi na Jaké jsou alternativní trhy aplikací pro Android?
  • Respekt, přesvědčil mě
  • Malware is something that we take very seriously Opravdu? nahlásil jsem potenciální problém prostřednictvím jejich webového formuláře a poté týden se nic nestalo. Viz aptoide-how-to-report-potential-zneužívání-bez-stát se členem
  • Děkujeme, že jste zde odpověděli. Můžete dále vysvětlit, proč mají apky jiné certifikáty než originály a proč složky jako “ facebook „, “ airbnb “ nebo “ smaato.soma “ jsou vstřikovány do apks, i když originál neměl žádné spojení s těmito aplikacemi? Mluvím o “ důvěryhodných “ aplikacích, např. WhatsApp.

Odpověď

Po odpovědi Paula , nějaké další výměny pošty s ním, jsem již napsal podrobný popis v mé odpovědi na další otázku – a také v článku na mém vlastním webu : Trhy Android: Jak bezpečné jsou alternativní zdroje?

Poté jsem od té doby Aptoide pečlivě sledoval a stále to dělám – dovolte mi tedy přidat několik dalších podrobností (včetně některých již zmíněných bodů, pro kontext):

  • Aptoide není “ jedna oblast pro aplikace “ jako Google Play nebo Amazon App-Store. Je to docela srovnatelné s tím, co Launchpad je pro Ubuntu: Každý a jeho malá sestra si zde mohou otevřít vlastní úložiště, které je prezentováno jako “ obchod “ oddělené od ostatních. Existuje však globální vyhledávání (pro aplikace a obchody).
  • Existuje pouze jedno úložiště, které je “ ručně upraveno “ od samotného Aptoide, nazvaného “ Aplikace „. Tady tým Aptoide rozhoduje, jaké aplikace vstupují do úložiště.Tady jsem …
    • nenašel jsem jedinou “ pirátskou placenou aplikaci „, ať už za peníze nebo zdarma
    • zkontroloval podpisy některých aplikací a zjistil, že se shodují s podpisy z Google Play u všech, které jsem zkontroloval
    • nepamatuji si žádnou aplikaci bez “ důvěryhodné “ razítko (to znamená, že takto označená aplikace byla zkontrolována na přítomnost malwaru pomocí více skenerů (včetně bouncer „), podpisy byly ověřeny, aby odpovídaly podpisům na jiných trzích (většinou Google Play ), a další – viz moje již další odpověď pro podrobnosti)

Takže můj závěr je ve skutečnosti to je docela bezpečné používat toto úložiště .

Podíval jsem se však také na několik dalších úložišť – kde opravdu najdete spoustu zjevně “ pirátské aplikace “ (placené aplikace od GPlay “ zdarma “ jsou pro to vždy signálem) . Na těchto místech nejenže často chybělo “ důvěryhodné “ razítko – ale místo toho jsem často našel “ nedůvěryhodné “ razítko – což znamená, že aplikace byla pravděpodobně kontaminována (podrobnosti se lišily; nejčastěji jsem zjistil, že jde o podpis: “ bylo použito jinde k podepsání jiného vývojáře balíčku “ je na 99% jisté, že označuje “ hack „).


Shrnuto: Zde nelze poskytnout obecnou odpověď (to by odpovídalo na otázku, zda “ Země “ je bezpečné místo k životu). Jak bezpečné je používání Aptoide do značné míry závisí na vašem výběru úložiště. O jednom je známo, že je ručně upravován a troufám si říci, že stejně bezpečný jako Google Play , Amazon App Store a další. Několik z nich lze považovat za docela bezpečné – zejména pokud víte o jejich majitelích a držíte se aplikací zobrazujících “ důvěryhodný “ štít .

Zabraňte tomu, aby aplikacím nebyl přiřazen (aktuálně zelený) “ důvěryhodný “ štít, zejména se vyhýbejte ti, kteří zobrazují (aktuálně žlutý) “ nedůvěryhodný “ štít, nejlépe také držet Samotné úložiště Apps – a Aptoide by pro vás mělo být bezpečným místem.

Považuji úložiště aplikací dostatečně bezpečné na to, aby jej bylo možné propojit z seznamů mých aplikací – vedle F-Droid a Google Play .

Komentáře

  • Pokud “ důvěryhodné “ , tj. zelené aplikace se ověřují pomocí podpisu z Google Play, proč je lepší se jen držet samotné úložiště aplikací?
  • @hulkingtickets, protože tímto způsobem ‚ neriskujete “ omylem zasáhnout žlutou jeden „. Všichni máme chvíle, kdy nás rozptyluje (nebo “ někdo jiný “ používá naše zařízení).

Odpověď

Aptoide je známý pirátský web pro aplikace pro Android. Pokud si myslíte, že jakýkoli web, který vědomě distribuuje pirátský software, je bezpečný, jste docela optimistický.

Komentáře

  • Neměli byste psát něco, co nemůžete vrátit až podle zdrojů. To, co píšete, je jako říkat “ Windows vždy obsahují viry „, “ uživatelé počítačů jsou hackeři “ a podobně. Přečetli jste si dokonce odpověď user64756 ? ‚ Je upravený repozitář a “ soukromá úložiště „. To, co přijde k prvnímu, je kontrolováno zaměstnanci – což u druhého nemusí nutně říkat.
  • Odpadky. Aptoide je pirátskou stránkou od svého vzniku a nadále těží z distribuce pirátského softwaru. Tvrzení, že zaměstnanci nemohou nést odpovědnost za to, co umožňují a z čehož profitují, je přinejlepším sémantika.
  • To, co píšete, je jako říkat “ Piratebay není stránka o pirátství. „: D
  • Nerozpouštěj mě ‚. Přední strana aptoidu otevřeně propaguje pirátské produkty. Chystáme se “ oh, ale tento malý roh webu je čistý “ …ano, ‚ jsme toho už slyšeli. Stejný starý “ ach, ale weby torrentů odkazujeme pouze na materiál, nemůžeme ‚ ovládat, co se zveřejní „.
  • Nebudu se s tebou ‚ hádat. Chvíli jsem měl blízký kontakt s Paulo a ‚ jsem asi rok pozoroval Aptoide. Mají vlastní repo s aktuálně téměř 50 000 aplikacemi, což je rozhodně čisté – a nabízejí všem, aby si otevřeli a udržovali své vlastní repo, kde nemohou ručit za obsah. Můžete nahlásit “ ilk “ a odebere se – ale ‚ t “ vyrazte na lov “ sami. // Vzhledem k tomu, že zloději a mafiáni používají bankovní účty, doporučuji, abyste se vyhýbali také bankám – protože bankovní úředníci také kontrolují, zda vám to někdo řekne (omlouvám se, ‚ t odolat;) ‚ nevyhazujte dítě vodou z vany;)

odpověď

Nedávno jsem vydal aplikaci pro Android Westward Dystopia POUZE v obchodě Google Play a během několika dní jsem zjistil, že je nabízena na Aptoide. Když jsem kontaktoval společnost, aby obsah odstranil, řekli mi, že to neudělají, pokud se nejdříve nezaregistruji pro jejich službu a neotevřu si u nich účet.

Toto NENÍ způsob, jakým běží legitimní stránka. Nevěřil bych jim, pokud bych je mohl hodit. Uživatelé si dávejte pozor.

Komentáře

  • Toto je přesné znění e-mailu, který jsem dostal po nahlášení krádeže mého obsahu a jeho hostování na vašem webu: “ K odebrání požadované aplikace potřebujeme přesnou adresu Aptoide, kde aplikace stojí a není dostatečná a pošlete nám řetězec. 1.- Odeslání jediné adresy URL Poté doporučujeme vyplnit zprávu o zneužití, kterou najdete zde: aptoide.com/report/abuse Chcete-li odeslat formulář, zaregistrujte se u stejného e-mailu vývojáře ‚ vývojáře Google Play a nezapomeňte aktivovat svůj účet. “
  • Já ‚ jsem zde vyčistil komentáře. Děkujeme za vyjádření vašich zkušeností, regomar; každý, kdo s vámi o tom chce diskutovat, by vás měl pozvat na Chat nadšenců Androidu .

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *