Hvor sikkert er det at bruge Aptoide?

Som med den seneste opdatering til Google Play ser man nu længere den fulde liste over tilladelser, som en app anmoder om ved installation / opdatering 1 , jeg føler mit privatliv invaderet. Endnu værre, en app kunne snige sig ind i yderligere tilladelser med en opdatering og uden at brugeren vidste 2,3 .

Så jeg ser på alternativer.

TL; DR:

Jeg ved, at vi har Hvad er de alternative Android-appmarkeder? , men a) at “s mere eller mindre en liste over andre markeder (uden at give baggrund) 4 , og b) det nævnes ikke engang Aptoide .

I don ” t vil have en anden app, der skal køre permanent i baggrunden for at ” kontrollere licensgyldigheden “, så ting som Amazon Appstore eller AndroidPIT er ude. AppBrain er bare en anden frontend til Google Play – så dejligt som det er, det løser ikke problemet, da det for appinstallationer og opdateringer bare skal omdirigeres til Google Play – som jeg snarere vil ” flygte “.

Jeg har allerede tjekket F-Droid for et par dage siden og føler, at det passer godt til mine behov (følg linket for detaljer) – men med næsten 1.200 apps (pr. 6/2014) efterlader det for mange huller.

Aptoide i den anden ende siges at tjene mere end 120.000 apps i øjeblikket. Som navnet antyder, bruger det APT stilopbevaringssteder, som jeg plejede at bruge fra Linux (Debian og derivater). Det giver dig endda mulighed for at få din egen private repo at dele apps mellem enheder (eller med venner). Alle apps tilbydes gratis, så der er ikke behov for en ” licensserver “. Men hvor sikkert er det for slutbrugeren? Jeg har googlet (og ducket) i timevis, men kunne ikke finde enhver kilde til dette. I stedet fandt jeg mange links af typen ” får gratis betalte apps “, ” sort marked ” og andre piratkopieringsorienterede ting – hvilket bestemt ikke er hvad jeg er efter. Jeg er mere end åben for at betale for gode apps 5 , så ” at få dem gratis ” er ikke hensigten bag mit spørgsmål. Ligesom F-Droid har Aptoide flere arkiver – men jeg kunne ikke finde ud af, om der er en sa ” tillid til ” hovedlager som med F-Droid .

Der er relateret information tilgængelig i pakkebeskrivelsen (f.eks. denne ) angiver sikkerhedsforanstaltninger såsom malware-scanning, signaturvalidering og tredjepartsvalidering. Men som den tilsvarende webside viser, synes disse oplysninger i det mindste delvis at være afhængige af brugerfeedback (som kunne falskes / manipuleres) eller præsenteres ikke engang til brugeren (pakkeoplysningerne navngiver f.eks. 3 scannere, der bruges til at kontrollere, jeg kan ikke finde denne info på websiden). Selvom jeg muligvis kan slå op via pakkeinfo, kan jeg ikke spørge f.eks. mine 70+ år gamle forældre til at gøre det. På denne side påpeger Aptoide også, hvordan man ser resultaterne af deres sikkerhedsforanstaltninger, og siger udtrykkeligt:

Aptoide Anti-Malware-platform analyserer applikationer i kørselstid og deaktiverer potentielle trusler på tværs af alle butikker.

(Min fremhævning) – hvilket antyder en malware-beskyttelse, der kan sammenlignes med den af Google Play (hvordan går det sammen med de ” rygter om det sorte marked “? Måske gør de bare ikke fjern krænkende apps , men kun mark dem i stedet?).

Så til sidst

Spørgsmålet:

Er der en måde til sikkert at bruge Aptoide som kilde til apps? Hvis ja, hvordan? 6 Hvis ikke, hvorfor ikke?

Bonuspoint for en ” idiot proof ” måde, som kunne anbefales til mindre erfarne brugere.


Fodnoter

1 Jeg ved, at det ville være muligt at åbne Google Play Butik websiden i appen, rulle gennem den og klikke på det tilsvarende link, når det blev fundet – men du kan ikke kald det brugervenligt, eller forvent, at brugerne gør dette ved hver opdatering.
2 f.eksved første installation anmodede den om ” intetanende ” READ_PHONE_STATE med den sædvanlige begrundelse. Med en opdatering kunne den anmode om CALL_PHONE, PROCESS_OUTGOING_CALLS og andre – og Play-appen ville ikke bringe det op, da de hører til ” samme gruppe “.
3 For at finde ” nye tilladelser “, måtte man sammenligne dem fra installeret version med dem i den nuværende. Hav det sjovt!
4 Jeg har lige redigeret to svar og tilføjet nogle detaljer på AppBrain og F-Droid for at udfylde disse huller
5 Jeg har købt en masse apps på Google Play (eller doneret til dev direkte), og f.eks F-Droid har donationsknapper på hver apps side for at gøre dette muligt
6 Jeg kunne forestille mig at kende (og begrænse din brug til) ” sikre Aptoide-repositorier ” dette kunne men som jeg skrev, kunne jeg ikke finde ud af, hvilke der skulle overvejes ” sikre “. Aptoide-artiklen på Wikipedia foreslår der “sa ” standardudgave ” ved installation, og flere repoer skal tilføjes manuelt, så det holder muligvis fast, at den første er sikker.

Kommentarer

  • Jeg tror en appbutik er lige så sikker som din tillid til kuratorerne eller (i tilfælde af en helt åben appbutik) udviklerne, der sender apps. IMHO, for Aptoide, jeg ‘ d sætter det i ” lige så sikkert som appen devs ” kategori. Men den ‘ s fordi jeg ikke ved noget om kuratorernes interesser her. Jeg håber, at selvom de bare gjorde det sværere at finde ud af, om en app-dev spørger mere end han / hun var om en tidligere version, har Google en interesse i ikke at have ondsindede apps spredt over deres økosystem. Ikke sikker på Aptoid ‘ s motiver.
  • Tak for kommentarer! Hvad angår Google Play, er jeg ‘ ikke så bekymret for ” ondsindede apps ” i sund fornuft (selvom flere af dem glider gennem Google ‘ s kontrol et stykke tid imellem også), men snarere for ” dataindsamlere ” og lignende (hvor Google er en af de største). Og ikke at være sikker på Aptoid er grunden til, at jeg stiller dette spørgsmål 🙂 Jeg vil ikke ‘ ikke vil erstatte et problem med et andet. Og jeg vil gerne vide med sikkerhed, hvad jeg kan anbefale andre.
  • Ah skit, jeg markerede dette ved en fejltagelse fyre, mine apologier! Det var et Stack Overflow-spørgsmål i den anden fane. At ‘ er min kø for at tage en pause!
  • Du har udeladt et vigtigt punkt – tilbyder Aptoide endda en appopgraderingsproces, der giver dig besked om ændringer af tilladelser? I betragtning af det åbenlyse fald i sikkerhed og sikkerhed, når du bruger en decentral og piratkopieret infrastruktur, bør det give nogle fordele udover bare ikke at være Google. Hvis du ‘ er bekymret for luskede dataindsamlinger, siger jeg ‘ at du ‘ re i større fare, når du får apps fra en butiksfacade med apps uploadet i bulk og ikke af udviklerne (og muligvis ændret).
  • @ProjectJourneyman Google Play ‘ t give sådanne tip til opdatering (hvis nye tilladelser føjes til ” den samme gruppe “). Da Aptoide, F-Droid og andre er ” 3. parts markeder “, skal de altid påberåbe sig ” lokal pakkeinstallatør “, som viser dig alle tilladelser til den app, der skal opdateres / installeres før du kan fortsætte med at installere. Desværre ikke ” diff ” til den nuværende version.

Svar

Tak, fordi du rejser disse spørgsmål. Her er nogle oplysninger om Aptoide, som jeg håber er nyttige for dig og Stackexchange / Android-samfundet:

  1. Malware er noget, vi tager meget alvorligt.I øjeblikket har vi 3 forskellige systemer til at opdage malware, da de ankommer til enhver Aptoide-drevet appbutik:
    • vi kører 3 forskellige antivirusprogrammer i emulatorer i løbetid
    • vi har en internt system med underskrifter for at opdage tilbagevendende trusler
    • vi har implementeret en kæde af tillid baseret på udviklerens underskrift
  2. Opgaven med at skabe et sikkert miljø for slutbrugeren er et bevægeligt mål. Vi arbejder med flere universiteter og forskningscentre, og i en nylig artikel (endnu ikke offentliggjort) sammenligner vi godt med de andre appbutikker. Vi foreslog også et europæisk forskningsprojekt med 2 antivirusfirmaer og 3 universiteter / forskningscentre til at behandle dette emne. Der er meget arbejde at gøre, og feedback fra samfundet er vigtig.
  3. F-Droid er faktisk meget lig Aptoide. De er en gaffel af Aptoide, og de vedligeholder alle de koncepter, vi udviklede, som flere butikker. De har en mere central tilgang og en central signatur, som selvfølgelig adskiller sig fra vores tilgang.
  4. Hos Aptoide har vi “Trusted” -stemplet. Hvis du ser det pålidelige stempel i en app, er vi 99,99% sikre på, at appen ikke indeholder en trussel mod slutbrugeren.

Bedst,
Paulo Trezentos (Aptoide medstifter)

Kommentarer

  • Mange tak for dine detaljer, Paulo! Selvom jeg forventede lige så meget, ‘ er godt at have disse detaljer førstehånds. Er der noget at sige om hvilke arkiver, der betragtes som ” sikrere ” / ” main ” (som den centrale i F-Droid – derudover er IMHO den eneste, der bruger den centrale signatur, du nævnt i 3.), der skal anbefales til ” mere forsigtig bruger ” – eller trues de alle ens? Hvad med dem ” sorte markeder ” Aptoide er relateret til så ofte? Og er ” betroet ” stempel på 4. kodet på en eller anden måde i XML I ‘, der er nævnt (skal f.eks. automatisk detekteret af et script)?
  • @all Manglende detaljer er sendt til mig via mail parallelt med Paulos ‘ s indlæg her. Find dem opsummeret i mit svar til Hvad er de alternative Android-appmarkeder?
  • Respekt, overbevist mig
  • Malware is something that we take very seriously Virkelig? Jeg rapporterede om et potentielt problem via deres webformular og efter en uge intet skete. Se aptoide-how-to-report-potential-misbrug-uden at blive medlem
  • Tak for svaret her. Kan du desuden forklare, hvorfor apks har forskellige certifikater end originalerne, og hvorfor mapper som ” facebook “, ” airbnb ” eller ” smaato.soma ” injiceres i apks, selvom originalen ikke havde forbindelse til disse applikationer? Jeg taler om ” betroede ” apps, f.eks. WhatsApp.

Svar

Efter Paulos svar , nogle flere mailudvekslinger med ham, jeg skrev allerede en detaljeret beskrivelse i mit svar på et andet spørgsmål – og også i en artikel på min egen side : Android-markeder: Hvor sikre er alternative kilder?

Herefter fulgte jeg Aptoide nøje siden da og gør det stadig – så lad mig tilføje et par flere detaljer (inklusive nogle punkter, der allerede er nævnt før, for kontekst):

  • Aptoide er ikke en ” enkelt område til apps ” som Google Play eller Amazon App-Store. Det kan sammenlignes med hvad Launchpad er til Ubuntu: Alle og hans lillesøster kan åbne deres eget lager her, som præsenteres som en ” butik ” adskilt fra de andre. Der er dog en global søgning (efter apps og butikker).
  • Der er kun et lager, der er ” manuelt kurateret ” af Aptoide selv, kaldet ” Apps “. Her bestemmer Aptoide-teamet, hvilke apps der kommer ind i arkivet.Her fandt jeg…
    • ikke en enkelt ” piratkopieret app “, det være sig for penge eller gratis
    • kontrollerede underskrifterne for nogle apps og fandt dem, der matchede dem fra Google Play for alt, hvad jeg kontrollerede
    • husker ikke nogen app uden ” betroet ” stempel (hvilket betyder, den så markerede app er blevet kontrolleret for malware med flere scannere (inklusive Aptoides egen ” bouncer “), underskrifter er bekræftet til at matche dem på andre markeder (for det meste Google Play ) og mere – se min allerede nævnte andet svar for detaljer om dette)

Så min konklusion er faktisk det er ret sikkert at bruge dette lager .

Men jeg har også kigget på flere af de andre arkiver – hvor du faktisk kan finde masser af åbenlyst ” piratkopierede apps ” (betalte apps fra GPlay ” gratis ” er altid et signal til det) . På disse steder manglede ” ikke kun ” stempel ofte – men i stedet fandt jeg ofte ” utro ” stempel – hvilket betyder, at appen sandsynligvis var forurenet (detaljerne var forskellige; oftest fandt jeg signaturen som problemet: ” det blev brugt andre steder til at underskrive en anden udvikler pakke ” er 99% sikker på at angive en ” hack “).


Sammenfattet: Her kan der ikke gives et generelt svar (det ville være at besvare spørgsmålet om ” Jorden ” er et sikkert sted at bo). Hvor sikkert det er at bruge Aptoide stort set afhænger af dit valg af lageret. Den ene er kendt for at være kurateret manuelt, og jeg tør sige, så sikker som Google Play , Amazon App Store og andre. Et par kan antages at være ret sikre – især hvis du ved det om deres ejere, og holder dig til apps, der viser ” betroet ” skjold .

Undgå, at apps ikke får tildelt det (aktuelt grønne) ” pålidelige ” skjold, bliv især godt fri for dem, der viser det (i øjeblikket gule) ” utro ” skjold, bedst også holde sig til Apps -lager alene – og Aptoide burde være et sikkert sted for dig.

Jeg betragter Apps lager er sikkert nok til at linke det fra mine applister – ved siden af F-Droid og Google Play .

Kommentarer

  • Hvis ” har tillid til ” , dvs. grønne apps er verificeret ved hjælp af en signatur fra Google Play, hvorfor er det bedre at kun holde sig til apps-arkivet alene?
  • @hulkingtickets fordi på den måde risikerer du ikke ‘ at ” ved et uheld rammer en gul en “. Vi har alle vores øjeblikke, hvor vi er distraheret (eller ” en anden ” bruger vores enhed).

Svar

Aptoide er et kendt piratkopieringswebsted til Android-apps. Hvis du mener, at ethvert websted, der bevidst distribuerer piratkopieret software, er sikkert, er du temmelig optimistisk.

Kommentarer

  • Du bør ikke skrive noget, du ikke kan bakke op af kilder. Hvad du skriver er som at sige ” Windows har altid vira “, ” computerbrugere er hackere ” og lignende. Har du endda læst svaret fra user64756 ? Der er ‘ et kureret lager, og der er ” private arkiver “. Hvad der kommer til det første styres af personalet – hvilket ikke nødvendigvis kan siges for sidstnævnte.
  • Affald. Aptoide har været et piratside siden starten, og fortsætter med at tjene på distributionen af piratkopieret software. At hævde, at personalet ikke kan holdes ansvarlig for det, som det muliggør og drager fordel af, er i bedste fald semantik.
  • Hvad du skriver er som at sige ” Piratebay er ikke et piratkopieringswebsted. “: D
  • Don ‘ t får mig til at grine. Forsiden af aptoide promoverer åbent piratkopierede produkter. Går til ” åh, men dette lille hjørne af webstedet er rent ” …ja, vi ‘ har hørt den før. Samme gamle ” åh, men vi torrentwebsteder linker kun til materialet, vi kan ‘ t styrer, hvad der bliver sendt “.
  • Jeg vandt ‘ t skændes med dig. Jeg havde tæt kontakt med Paulo i et stykke tid, og jeg ‘ har observeret Aptoide i omkring et år nu. De har deres egen repo med næsten 50.000 apps i øjeblikket, hvilket bestemt er rent – og tilbyder alle at åbne og vedligeholde sin egen repo, hvor de ikke kan garantere for indholdet. Du kan rapportere ” ilk “, og det bliver fjernet – men de don ‘ t ” går på jagt efter ” selv. // Da tyve og Mafiosi bruger bankkonti, anbefaler jeg, at du også holder dig væk fra banker – da bankfunktioner også kun kontrollerer, hvis de får at vide det (undskyld, kunne ‘ ikke modstå;) Kast ‘ t smid babyen ud med badevandet;)

Svar

Jeg udgav for nylig min Android-app Westward Dystopia KUN i Google Play-butikken og inden for få dage fandt jeg, at den blev tilbudt på Aptoide. Da jeg kontaktede virksomheden for at få fjernet indholdet, fortalte de mig, at de ikke ville, medmindre jeg først tilmeldte deres tjeneste og åbnede en konto hos dem.

Dette er IKKE den måde, hvorpå et legitimt websted drives. Jeg ville ikke stole på dem, så vidt jeg kunne kaste dem. Brugere pas på.

Kommentarer

  • Dette er den nøjagtige ordlyd i den e-mail, jeg modtog efter rapportering om tyveri af mit indhold og hosting af det på dit websted: ” For at fjerne den anmodede applikation skal vi have den nøjagtige Aptoide URL, hvor applikationen står, og det er ikke tilstrækkeligt at sende os en streng 1. – Afsendelse af en enkelt URL Vi foreslår derefter, at du udfylder den misbrugsrapport, som du kan finde her: aptoide.com/report/abuse For at indsende formularen skal du registrere dig hos den samme Google Play-udvikler ‘ e-mail og glem ikke at aktivere din konto. ”
  • Jeg ‘ har ryddet kommentarerne her. Tak fordi du fortæller din oplevelse, regomar. Enhver, der ønsker at diskutere det med dig, skal invitere dig til Android-entusiaster-chat .

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *