Wie sicher ist es, Aptoide zu verwenden?

Wie beim neuesten Update von Google Play wird jetzt die vollständige Liste der Berechtigungen angezeigt, die von einer App bei der Installation / Aktualisierung angefordert wurden 1 , ich fühle mich in meine Privatsphäre eingedrungen. Schlimmer noch, eine App könnte mit einem Update zusätzliche Berechtigungen einbinden, ohne dass der Benutzer 2,3 kennt.

Ich suche also nach Alternativen.

TL; DR:

Ich weiß, wir haben Was sind die alternativen Android-App-Märkte? , aber a) das ist mehr oder weniger eine Auflistung anderer Märkte (ohne Angabe von Hintergründen) 4 , und b) es wird nicht einmal Aptoide erwähnt.

I don “ Ich möchte keine andere App, die permanent im Hintergrund ausgeführt werden muss, um “ die Gültigkeit der Lizenz zu überprüfen „, also Dinge wie die Amazon Appstore oder AndroidPIT sind nicht verfügbar. AppBrain ist nur ein weiteres Front-End für Google Play – so schön es auch ist, es löst das Problem nicht, da es für App-Installationen und -Updates nur an Google Play weitergeleitet werden muss – was ich eher im Begriff bin, “ zu fliehen „.

Ich habe F-Droid bereits vor einigen Tagen ausgecheckt und finde, dass es meinen Anforderungen ziemlich entspricht (folgen Sie) der Link für Details) – aber mit nur etwa 1.200 Apps (Stand 6/2014) bleiben zu viele Lücken.

Aptoide am anderen Ende soll dienen Derzeit mehr als 120.000 Apps . Wie der Name schon sagt, werden Repositorys im Stil von APT verwendet, die ich von Linux (Debian und Derivate) gewohnt bin. Sie können sogar Ihr eigenes privates Repo erstellen Zum Teilen von Apps zwischen Geräten (oder mit Freunden). Alle Apps werden kostenlos angeboten, sodass kein “ Lizenzserver “ erforderlich ist. Aber wie sicher ist es für den Endbenutzer? Ich habe stundenlang gegoogelt (und mich geduckt), konnte es aber nicht finden jede Quelle dazu. Stattdessen habe ich festgestellt, dass viele Links vom Typ “ kostenpflichtige Apps kostenlos erhalten. „, “ Schwarzmarkt “ und andere piraterieorientierte Dinge – das ist definitiv nicht das, wonach ich suche. Ich bin mehr als offen, um für gute Apps zu bezahlen 5 , also “ sie kostenlos zu bekommen “ ist nicht die Absicht hinter meiner Frage. Wie F-Droid verfügt Aptoide über mehrere Repositorys – aber ich konnte nicht herausfinden, ob es ein “ vertrauenswürdiges gibt “ Haupt-Repository wie bei F-Droid .

In der Paketbeschreibung sind verwandte Informationen verfügbar (z. B. this ) zeigt Sicherheitsmaßnahmen wie Malware-Scan, Signaturvalidierung und Validierung durch Dritte an. Wie die entsprechende Webseite zeigt, scheinen diese Informationen zumindest teilweise auf Benutzerfeedback zu beruhen (das gefälscht / manipuliert werden könnte) oder werden nicht einmal präsentiert an den Benutzer (die Paketinformationen, z. B. Namen 3 Scanner, die zur Überprüfung verwendet werden, ich kann diese Informationen nicht auf der Webseite finden). Während ich möglicherweise in der Lage bin, Dinge über Paketinformationen nachzuschlagen, kann ich nicht fragen, z. meine über 70 Jahre alten Eltern dazu. Auf dieser Seite weist Aptoide auch darauf hin, wie die Ergebnisse ihrer Sicherheitsmaßnahmen angezeigt werden, und gibt explizit an:

Die Aptoide Anti-Malware-Plattform analysiert Anwendungen zur Laufzeit und deaktiviert potenzielle Bedrohungen in allen Filialen.

(Hervorhebung meiner) – Dies deutet auf einen Malware-Schutz hin, der mit dem von Google Play vergleichbar ist (wie passt das zu den “ Schwarzmarktgerüchten „? Vielleicht entfernen sie nicht beleidigende Apps , aber nur markieren sie stattdessen?).

Also endlich

Die Frage:

Gibt es eine Möglichkeit, Aptoide sicher als Quelle für Apps zu verwenden? Wenn ja, wie? 6 Wenn nicht, warum nicht?

Bonuspunkte für einen “ idiotensicheren “ Weg, der Dies kann weniger erfahrenen Benutzern empfohlen werden.


Fußnoten

1 Ich weiß, dass es möglich ist, die Google Play Store -Webseite der App zu öffnen, durch sie zu scrollen und auf den entsprechenden Link zu klicken, wenn er gefunden wird – aber Sie können nicht Rufen Sie dies benutzerfreundlich auf oder erwarten Sie, dass Benutzer dies bei jedem Update tun.
2 zBBei der ersten Installation wurde die “ ahnungslose “ READ_PHONE_STATE mit der üblichen Begründung angefordert. Mit einem Update könnte es CALL_PHONE, PROCESS_OUTGOING_CALLS und andere anfordern – und die Play-App würde dies nicht aufrufen, da sie dazu gehören die “ gleiche Gruppe „.
3 Um “ neue Berechtigungen “ zu ermitteln, musste man die der vergleichen installierte Version mit denen der vorliegenden. Viel Spaß!
4 Ich habe gerade zwei Antworten bearbeitet und einige Details hinzugefügt auf AppBrain und F-Droid , um diese Lücken zu füllen
5 Ich habe viele Apps bei Google Play gekauft (oder an gespendet) der Entwickler direkt) und z F-Droid verfügt auf jeder App-Seite über Spendenschaltflächen, um dies zu ermöglichen.
6 Ich könnte mir vorstellen, dass ich “ sichere Aptoide-Repositorys “ dies kenne Aber wie ich schrieb, konnte ich nicht herausfinden, welche “ sicher “ zu betrachten sind. Der Artikel Aptoide auf Wikipedia schlägt vor, dass „sa “ Standard-Repo “ Bei der Installation müssen weitere Repos manuell hinzugefügt werden, sodass das Festhalten an diesem ersten sicher ist.

Kommentare

  • Ich denke Ein App Store ist so sicher wie Ihr Vertrauen für die Kuratoren oder (im Fall eines vollständig offenen App Stores) die Entwickler, die Apps einreichen. IMHO, für Aptoide habe ich ‚ d gesetzt es in der Kategorie “ genauso sicher wie die App devs „. Aber diese ‚ s weil ich hier nichts über die Interessen der Kuratoren weiß. Ich würde hoffen, dass Google ein begründetes Interesse daran hat, nicht herauszufinden, ob ein App-Entwickler mehr verlangt als er / sie für eine frühere Version bösartige Apps verbreiten sich in ihrem gesamten Ökosystem. Ich bin mir nicht sicher, welche Motive Aptoid ‚ verwendet Bemerkungen! Was Google Play betrifft, bin ich ‚ nicht so sehr besorgt um “ bösartige Apps “ im gesunden Menschenverstand (obwohl einige von ihnen auch ab und zu eine Weile durch die Kontrolle von Google ‚ schlüpfen), sondern eher für “ Datensammler “ und dergleichen (wobei Google einer der größten ist). Und nicht sicher zu sein, was Aptoid angeht, ist der Grund, warum ich diese Frage stelle 🙂 Ich ‚ möchte ein Problem nicht durch ein anderes ersetzen. Und ich möchte sicher wissen, was ich anderen empfehlen kann.
  • Ah Mist, ich habe dies versehentlich gemeldet, Leute, meine Apolgien! Es war eine Stapelüberlauffrage auf der anderen Registerkarte. Das ‚ ist mein Stichwort, um eine Pause einzulegen!
  • Sie haben einen wichtigen Punkt ausgelassen – bietet Aptoide überhaupt einen App-Upgrade-Prozess an, der Sie über Berechtigungsänderungen informiert? Angesichts des offensichtlichen Rückgangs der Sicherheit bei der Verwendung einer dezentralen und von Piraterie geprägten Infrastruktur sollte sie einige Vorteile bieten, abgesehen davon, dass sie nicht Google ist. Wenn Sie ‚ über eine hinterhältige Datenerfassung besorgt sind, würde ich ‚ sagen, dass Sie ‚ sind Dies ist gefährlicher, wenn Apps aus einem Store mit Apps abgerufen werden, die in großen Mengen und nicht von den Entwicklern hochgeladen (und möglicherweise geändert) wurden Geben Sie solche Hinweise zum Aktualisieren (wenn “ derselben Gruppe “ neue Berechtigungen hinzugefügt werden). Da Aptoide, F-Droid und andere “ Drittanbieter-Märkte “ sind, müssen sie immer die lokales Paketinstallationsprogramm „, das Ihnen alle Berechtigungen der zu aktualisierenden / zu installierenden App vor Sie können mit der Installation fortfahren. Leider unterscheidet sich “ nicht “ von der aktuellen Version.

Antwort

Vielen Dank, dass Sie diese Fragen aufgeworfen haben. Hier sind einige Informationen über Aptoide, von denen ich hoffe, dass sie für Sie und die Stackexchange / Android-Community nützlich sind:

  1. Malware nehmen wir sehr ernst.Derzeit haben wir 3 verschiedene Systeme, um Malware zu erkennen, wenn sie in einem von Aptoide betriebenen App Store eintrifft:
    • Wir führen zur Laufzeit 3 verschiedene Antivirenprogramme in Emulatoren aus.
    • Wir haben ein internes Signatursystem zur Erkennung wiederkehrender Bedrohungen
    • Wir haben eine Vertrauenskette implementiert, die auf der Signatur des Entwicklers basiert.
  2. Die Aufgabe des Erstellens Eine sichere Umgebung für den Endbenutzer ist ein sich bewegendes Ziel. Wir arbeiten mit mehreren Universitäten und Forschungszentren zusammen und vergleichen uns in einem kürzlich erschienenen Artikel (noch nicht veröffentlicht) gut mit den anderen App Stores. Wir haben auch ein europäisches Forschungsprojekt mit 2 Antiviren-Unternehmen und 3 Universitäten / Forschungszentren vorgeschlagen, um dieses Thema zu behandeln. Es gibt viel zu tun und das Feedback der Community ist wichtig.
  3. F-Droid ist Aptoide tatsächlich sehr ähnlich. Sie sind eine Abzweigung von Aptoide und behalten alle von uns entwickelten Konzepte bei, wie mehrere Geschäfte. Sie haben einen zentraleren Ansatz und eine zentrale Signatur, die sich natürlich von unserem Ansatz unterscheidet.
  4. Bei Aptoide haben wir den Stempel „Vertrauenswürdig“. Wenn Sie den vertrauenswürdigen Stempel in einer App sehen, sind wir zu 99,99% sicher, dass die App keine Bedrohung für den Endbenutzer enthält.

Beste,
Paulo Trezentos (Aptoide Mitbegründer)

Kommentare

  • Vielen Dank für Ihre Angaben, Paulo! Obwohl ich das auch erwartet habe, ‚ ist gut, diese Details aus erster Hand zu haben. Gibt es etwas zu sagen, welche Repositorys als “ sicherer “ / “ main “ (wie die zentrale in F-Droid – die IMHO außerdem die einzige ist, die die zentrale Signatur verwendet, die Sie verwenden erwähnt in 3.), um dem “ vorsichtigeren Benutzer “ empfohlen zu werden – oder sind sie alle ähnlich bedroht? Was ist mit diesen “ Schwarzmärkte “ Aptoide ist so oft verwandt? Und ist die “ vertrauenswürdig “ Stempel von 4. irgendwie in der XML codiert, die ich ‚ erwähnt habe (z. automatisch von einem Skript erkannt)?
  • @all Fehlende Details wurden mir per E-Mail gesendet, parallel zu Paulos ‚ Beitrag hier. Finden Sie sie zusammengefasst in meiner Antwort auf Was sind die alternativen Android-App-Märkte?
  • Respekt, überzeugt mich
  • Malware is something that we take very seriously Wirklich? Ich habe ein potenzielles Problem über das Webformular und danach gemeldet eine Woche ist nichts passiert. Siehe aptoide, wie man potenziellen Missbrauch meldet, ohne Mitglied zu werden
  • Vielen Dank, dass Sie hier geantwortet haben. Können Sie zusätzlich erklären, warum die Apks andere Zertifikate als die Originale haben und warum Ordner wie “ facebook „, “ airbnb “ oder “ smaato.soma “ werden in die injiziert apks auch wenn das original keine verbindung zu diesen anwendungen hatte? Ich spreche von “ vertrauenswürdigen “ Apps, z. WhatsApp.

Antwort

Nach Paulos Antwort , einige weitere Mail-Austausch mit ihm, schrieb ich bereits eine detaillierte Beschreibung in meine Antwort auf eine andere Frage – und auch in einem Artikel auf meiner eigenen Website : Android-Märkte: Wie sicher sind alternative Quellen?

Danach habe ich Aptoide seitdem genau beobachtet und tue es immer noch – Lassen Sie mich einige weitere Details hinzufügen (einschließlich einiger Punkte, die bereits zuvor für den Kontext erwähnt wurden):

  • Aptoide ist keine “ einzelner Bereich für Apps “ wie Google Play oder der Amazon App-Store. Es ist ziemlich vergleichbar mit dem, was Launchpad ist für Ubuntu: Jeder und seine kleine Schwester können hier ihr eigenes Repository eröffnen, das als “ store von den anderen getrennt. Es gibt jedoch eine globale Suche (nach Apps und Stores).
  • Es gibt nur ein Repository, das “ manuell kuratiert von Aptoide selbst, genannt “ Apps „. Hier entscheidet das Aptoide-Team, welche Apps in das Repository gelangen.Hier habe ich…
    • keine einzige “ Raubkopien-App “ gefunden, sei es für Geld oder kostenlos
    • hat die Signaturen einiger Apps überprüft und festgestellt, dass sie mit denen von Google Play übereinstimmen.
    • Ich erinnere mich an keine App ohne die “ vertrauenswürdiger “ -Stempel (dh die so markierte App wurde mit mehreren Scannern (einschließlich Aptoides eigenem bouncer „), Signaturen wurden überprüft, um mit denen anderer Märkte (meistens Google Play ) übereinzustimmen, und mehr – siehe meine bereits erwähnte andere Antwort für Details dazu)

Also meine Schlussfolgerung ist es tatsächlich Es ist ziemlich sicher, dieses Repository zu verwenden.

Ich habe mir jedoch auch einige der anderen Repositorys angesehen – wo Sie tatsächlich viele offensichtlich “ Raubkopien von Apps “ (kostenpflichtige Apps von GPlay “ kostenlos “ sind immer ein Signal dafür) . An diesen Stellen fehlte nicht nur häufig der “ vertrauenswürdige “ -Stempel, sondern ich fand häufig den “ nicht vertrauenswürdiger “ -Stempel – was bedeutet, dass die App wahrscheinlich kontaminiert war (Details unterschieden sich; meistens stellte ich fest, dass die Signatur das Problem war: “ wurde an anderer Stelle verwendet, um ein anderes Entwicklerpaket zu signieren. “ gibt zu 99% sicher an, dass ein “ hack „).


Zusammenfassend: Eine allgemeine Antwort kann hier nicht gegeben werden (dies würde die Frage beantworten, ob “ die Erde “ ist ein sicherer Ort zum Leben). Wie sicher es ist, Aptoide zu verwenden, hängt von Ihrer Wahl des Repositorys ab. Es ist bekannt, dass eines manuell kuratiert und, wie ich sagen darf, genauso sicher ist wie Google Play , Amazon App Store und andere. Einige können als ziemlich sicher angesehen werden – besonders wenn Sie dies über ihre Besitzer wissen und sich an Apps halten, die das “ vertrauenswürdige “ -Schild anzeigen

Vermeiden Sie, dass Apps nicht das (derzeit grüne) “ vertrauenswürdige “ -Schild zugewiesen wird Diejenigen, die das (derzeit gelbe) “ nicht vertrauenswürdige “ -Schild zeigen, halten sich am besten auch an das Apps Repository allein – und Aptoide sollte ein sicherer Ort für Sie sein.

Ich betrachte das Apps Repository sicher genug, um es aus meinen App-Listen zu verknüpfen – neben F-Droid und Google Play

Kommentare

  • Wenn “ vertrauenswürdig “ Das heißt, grüne Apps werden mit einer Signatur von Google Play überprüft. Warum ist es besser, sich nur daran zu halten? Nur das Apps-Repository?
  • @hulkingtickets, da Sie auf diese Weise ‚ kein Risiko eingehen, dass “ versehentlich ein Gelb trifft eine „. Wir alle haben Momente, in denen wir abgelenkt sind (oder “ jemand anderes “ verwendet unser Gerät).

Antwort

Aptoide ist eine bekannte Piraterie-Site für Android-Apps. Wenn Sie der Meinung sind, dass eine Website, die wissentlich Raubkopien von Software verbreitet, sicher ist, sind Sie ziemlich optimistisch.

Kommentare

  • Sie sollten nichts schreiben, was Sie nicht unterstützen können nach Quellen. Was Sie schreiben, ist wie zu sagen, dass “ Windows immer Viren „, “ Computerbenutzer sind Hacker “ und dergleichen. Haben Sie sogar die Antwort von user64756 gelesen? Es gibt ‚ ein kuratiertes Repository und “ private Repositorys „. Was zum ersten kommt, wird vom Personal kontrolliert – was für letzteres nicht unbedingt gesagt werden kann.
  • Müll. Aptoide ist seit seiner Gründung eine Piratensite und profitiert weiterhin von der Verbreitung von Raubkopien. Die Behauptung, dass die Mitarbeiter nicht für das verantwortlich gemacht werden können, was sie ermöglichen und von dem sie profitieren, ist bestenfalls semantisch.
  • Was Sie schreiben, ist wie zu sagen, dass “ Piratebay dies nicht ist eine Piraterie-Site. „: D
  • bringt mich nicht zum Lachen. Die Titelseite von aptoide wirbt offen für Raubkopien. “ Oh, aber diese kleine Ecke der Site ist sauber “ …Ja, wir ‚ haben das schon einmal gehört. Dieselbe alte “ Oh, aber wir Torrent-Sites verlinken nur auf das Material. Wir können ‚ nicht steuern, was veröffentlicht wird „.
  • Ich werde ‚ nicht mit Ihnen streiten. Ich hatte eine Weile engen Kontakt mit Paulo und ‚ habe Aptoide seit ungefähr einem Jahr beobachtet. Sie haben derzeit ein eigenes Repo mit fast 50.000 Apps, was definitiv sauber ist – und bieten jedem an, sein eigenes Repo zu öffnen und zu pflegen, wo sie nicht für den Inhalt bürgen können. Sie können “ ilk “ melden, und es wird entfernt – aber sie

t “ gehen Sie selbst auf die Jagd „. // Da Diebe und Mafiosi Bankkonten benutzen, empfehle ich Ihnen, sich auch von Banken fernzuhalten – da Bankangestellte auch nur prüfen, ob sie dazu aufgefordert werden (sorry, konnte ‚ nicht widerstehen;) ‚ das Baby nicht mit dem Badewasser wegwerfen;)

Antwort

Ich habe kürzlich meine Android-App Westward Dystopia NUR im Google Play Store veröffentlicht und innerhalb weniger Tage festgestellt, dass sie auf Aptoide angeboten wird. Als ich mich an das Unternehmen wandte, um den Inhalt zu entfernen, teilten sie mir mit, dass dies nicht der Fall sei, es sei denn, ich habe mich zuerst für ihren Dienst registriert und ein Konto bei ihnen eröffnet.

Auf diese Weise wird KEINE legitime Site ausgeführt. Ich würde ihnen nicht vertrauen, so weit ich sie werfen kann. Benutzer aufgepasst.

Kommentare

  • Dies ist der genaue Wortlaut in der E-Mail, die ich erhalten habe Nachdem Sie den Diebstahl meiner Inhalte gemeldet und auf Ihrer Website gehostet haben: “ Um die angeforderte Anwendung zu entfernen, benötigen wir die genaue Aptoide-URL, unter der sich die Anwendung befindet, und sie reicht nicht aus Um uns eine Zeichenfolge zu senden. 1.- Senden einer einzelnen URL Wir empfehlen Ihnen, den Missbrauchsbericht auszufüllen, den Sie hier finden: aptoide.com/report/abuse Um das Formular zu senden, registrieren Sie sich bitte bei derselben E-Mail-Adresse des Google Play-Entwicklers ‚ und vergessen Sie nicht, Ihr Konto zu aktivieren. “
  • Ich ‚ habe die Kommentare hier bereinigt. Vielen Dank für Ihre Erfahrungen, Regomar. Jeder, der mit Ihnen darüber diskutieren möchte, sollte Sie zu Chat für Android-Enthusiasten .

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.