Comme pour la dernière mise à jour de Google Play , on ne voit plus la liste complète des autorisations demandées par une application lors de linstallation / mise à jour 1 , je sens que ma vie privée est envahie. Pire encore, une application pourrait se faufiler dans des autorisations supplémentaires avec une mise à jour, et sans que lutilisateur sache 2,3 .
Je cherche donc des alternatives.
TL; DR:
Je sais que nous « avons Quels sont les autres marchés dapplications Android? , mais a) qui » s plus ou moins une liste dautres marchés (sans donner de fond) 4 , et b) il « ne fait même pas mention de Aptoide .
Je ne le fais pas » Je veux une autre application qui doit fonctionner en arrière-plan en permanence pour » vérifier la validité de la licence « , donc des choses comme Amazon Appstore ou AndroidPIT sont sortis. AppBrain est juste un autre front-end de Google Play – aussi agréable soit-il, il ne résout pas le problème, car pour les installations et les mises à jour dapplications, il suffit de rediriger vers Google Play – que je « suis plutôt sur le point de » fuir « .
Jai déjà vérifié F-Droid il y a quelques jours, et je pense que cela correspond assez bien à mes besoins (suivez le lien pour plus de détails) – mais avec environ 1.200 applications (à partir de 6/2014), cela laisse trop de lacunes.
Aptoide à lautre bout est censé servir plus de 120 000 applications actuellement. Comme son nom lindique, il utilise des dépôts de style APT , auxquels je suis habitué depuis Linux (Debian et ses dérivés). Il vous permet même davoir votre propre dépôt privé pour partager des applications entre appareils (ou avec des amis). Toutes les applications sont offertes gratuitement, donc pas besoin dun » serveur de licences « . Mais est-il sûr pour lutilisateur final? Jai cherché sur Google (et esquivé) pendant des heures, mais je nai pas trouvé toute source à ce sujet. Au lieu de cela, jai trouvé beaucoup de liens du type » pour obtenir des applications payantes gratuitement « , » marché noir « , et dautres trucs axés sur le piratage – ce qui nest certainement pas ce que je recherche. Je suis plus que disposé à payer pour de bonnes applications 5 , donc » les obtenir gratuitement » nest pas lintention derrière ma question. Comme F-Droid , Aptoide a plusieurs référentiels – mais je ne pouvais pas savoir sil y avait « sa » fiable » référentiel principal comme avec F-Droid .
Il y a des informations connexes disponibles dans la description du paquet (par exemple celui-ci ) indiquant les mesures de sécurité telles que lanalyse des logiciels malveillants, la validation de signature et la validation par un tiers. Mais comme le montre la page Web correspondante , ces informations semblent reposer au moins en partie sur les commentaires des utilisateurs (qui pourraient être truqués / manipulés), ou ne sont même pas présentées à lutilisateur (les informations sur le package, par exemple, nomme 3 scanners utilisés pour vérifier, je ne trouve pas cette information sur la page Web). Bien que je puisse rechercher des choses via les informations sur le paquet, je ne peux pas demander par exemple mes parents de 70 ans et plus pour le faire. Sur cette page , Aptoide indique également comment voir les résultats de leurs mesures de sécurité et déclare explicitement:
La plate-forme Aptoide Anti-Malware analyse les applications lors de lexécution et désactive les menaces potentielles dans tous les magasins.
(Je souligne) – ce qui suggère une protection contre les logiciels malveillants comparable à celle de Google Play (comment est-ce que cela va de pair avec ces » rumeurs sur le marché noir « ? , mais seulement les marquer à la place?).
Donc finalement
La question:
Existe-t-il un moyen dutiliser en toute sécurité Aptoide comme source dapplications? Si oui, comment? 6 Sinon, pourquoi?
Points bonus pour une » preuve idiote » qui pourrait être recommandé aux utilisateurs moins expérimentés.
Notes de bas de page
1 Je sais quil serait possible douvrir la page Web Google Play Store de lapplication, de la faire défiler et de cliquer sur le lien correspondant une fois trouvé – mais vous ne pouvez « t appelez cela convivial ou attendez-vous à ce que les utilisateurs le fassent à chaque mise à jour.
2 par exemplelors de la première installation, il a demandé le » unsuspecting » READ_PHONE_STATE
avec la justification habituelle. Avec une mise à jour, il pourrait demander CALL_PHONE
, PROCESS_OUTGOING_CALLS
et dautres – et lapplication Play ne le ferait pas, car ils appartiennent à le » même groupe « .
3 Pour voir les » nouvelles autorisations « , il fallait comparer celles des version installée avec celles de lactuelle. Amusez-vous bien!
4 Je viens de modifier deux réponses et d’ajouter quelques détails sur AppBrain et F-Droid pour combler ces lacunes
5 Jai « acheté de nombreuses applications sur Google Play (ou fait un don à le dev directement), et par exemple F-Droid a des boutons de don sur la page de chaque application pour rendre cela possible
6 Je pourrais imaginer en connaissant (et en limitant votre utilisation à) » des dépôts Aptoide sûrs » cela pourrait Mais comme je l’ai écrit, je ne pouvais pas trouver lesquels considérer » sûrs « . L article Aptoide sur Wikipedia suggère quil y ait « sa » dépôt par défaut » lors de linstallation, et plus de dépôts doivent être ajoutés manuellement; il se peut donc que le premier reste en sécurité.
Commentaires
- Je pense un magasin dapplications est aussi sûr que votre confiance envers les conservateurs ou (dans le cas dun magasin dapplications entièrement ouvert) les développeurs qui soumettent des applications. À mon humble avis, pour Aptoide, je ‘ d put dans la catégorie » tout aussi sûr que les applications devs » catégorie. Mais cela ‘ s parce que je ne sais rien des intérêts des conservateurs ici. Jespère que même sils ont rendu plus difficile de savoir si un développeur dapplication demande plus quil ne létait pour une version précédente, Google a tout intérêt à ne pas avoir des applications malveillantes se sont répandues dans leur écosystème. Je ne suis pas sûr des motivations dAptoid ‘.
- Merci pour le commentaires! Quant à Google Play, je ‘ ne suis pas très préoccupé par les » applications malveillantes » dans le sens commun (bien que plusieurs dentre eux glissent de temps en temps dans le contrôle de Google ‘), mais plutôt pour » collecteurs de données » et autres (Google étant lun des plus importants). Et ne pas être sûr dAptoid est la raison pour laquelle je pose cette question 🙂 Je ne ‘ pas vouloir remplacer un problème par un autre. Et je veux savoir avec certitude ce que je peux recommander aux autres.
- Ah merde, je lai signalé par erreur les gars, mes apolgies! Cétait une question Stack Overflow dans lautre onglet. Cest ‘ que je veux faire une pause!
- Vous avez omis un point important – Aptoide propose-t-il même un processus de mise à niveau de lapplication qui vous informe des changements dautorisation? Compte tenu de la diminution évidente de la sécurité et de la sûreté lors de lutilisation dune infrastructure décentralisée et piratée, elle devrait offrir certains avantages en plus de ne pas être Google. Si vous ‘ vous inquiétez de la collecte de données sournoises, je ‘ d vous dire ‘ re plus en danger lorsque vous récupérez des applications à partir dune vitrine avec des applications téléchargées en masse et non par les développeurs (et éventuellement modifiées).
- @ProjectJourneyman Google Play ne ‘ t donnez de telles indications sur la mise à jour (si de nouvelles autorisations sont ajoutées à » le même groupe « ). Avec Aptoide, F-Droid et dautres étant des » marchés tiers « , ils doivent toujours invoquer le » programme dinstallation local du package « , qui vous montre toutes les autorisations de lapplication à mettre à jour / à installer avant le vous pouvez procéder à linstallation. Cependant, malheureusement, pas un » diff » à la version actuelle.
Réponse
Merci davoir posé ces questions. Voici quelques informations sur Aptoide qui, je lespère, vous seront utiles, ainsi quà la communauté Stackexchange / Android:
- Les logiciels malveillants sont quelque chose que nous prenons très au sérieux.Actuellement, nous disposons de 3 systèmes différents pour détecter les logiciels malveillants lorsquils arrivent dans nimporte quel magasin dapplications fonctionnant sous Aptoide:
- nous exécutons 3 antivirus différents dans des émulateurs au moment de lexécution
- nous avons un système interne de signatures pour détecter les menaces récurrentes
- nous avons mis en place une chaîne de confiance basée sur la signature du développeur
- La tâche de création un environnement sûr pour lutilisateur final est une cible mouvante. Nous travaillons avec plusieurs universités et centres de recherche et dans un article récent (pas encore publié) nous nous comparons bien avec les autres app stores. Nous avons également proposé un projet de recherche européen avec 2 sociétés anti-virus et 3 universités / centres de recherche pour traiter ce sujet. Il y a beaucoup de travail à faire et les retours de la communauté sont importants.
- F-Droid est en fait très similaire à Aptoide. Ils sont une fourchette dAptoide et ils maintiennent tous les concepts que nous avons développés, comme plusieurs magasins. Ils ont une approche plus centralisée et une signature centrale qui est bien sûr différente de notre approche.
- Chez Aptoide, nous avons le cachet « Trusted ». Si vous voyez le tampon de confiance dans une application, nous sommes sûrs à 99,99% que lapplication ne contient pas de menace pour lutilisateur final.
Meilleur,
Paulo Trezentos (Aptoide co-fondateur)
Commentaires
- Merci beaucoup pour vos détails, Paulo! Même si je my attendais autant, ‘ est bon davoir ces détails de première main. Y a-t-il quelque chose à dire sur les référentiels considérés » plus sûrs » / » main » (comme celui central de F-Droid – qui est dailleurs à mon humble avis le seul à utiliser la signature centrale que vous mentionné au point 3.), à recommander à l » utilisateur plus prudent » – ou sont-ils tous menacés de la même manière? Et ceux » marchés noirs » Aptoide est si souvent associé? Et le » fait-il confiance » cachet de 4. dune manière ou dune autre codé dans le XML Je ‘ que jai mentionné (par exemple détecté automatiquement par un script)?
- @all Les détails manquants mont été envoyés par courrier, parallèlement au message de Paulo ‘ ici. Retrouvez-les résumés dans ma réponse à Quels sont les autres marchés dapplications Android?
- Respect, ma convaincu
-
Malware is something that we take very seriously
Vraiment? Jai signalé un problème potentiel via leur formulaire Web et après une semaine, rien ne sest passé. Voir aptoide-comment-signaler-un-abus-potentiel-sans-devenir-membre - Merci davoir répondu ici. Pouvez-vous également expliquer pourquoi les apks ont des certificats différents de ceux des originaux et pourquoi des dossiers comme » facebook « , » airbnb » ou » smaato.soma » sont injectés dans le apks même si loriginal navait aucun lien avec ces applications? Je parle des applications » de confiance « , par exemple WhatsApp.
Réponse
Après la réponse de Paulo » , encore des échanges de mails avec lui, jai déjà rédigé une description détaillée dans ma réponse à une autre question – et aussi dans un article sur mon propre site : Android Markets: dans quelle mesure les sources alternatives sont-elles sûres?
Suite à cela, jai surveillé de près Aptoide depuis lors, et je le fais toujours – alors laissez-moi ajouter quelques détails supplémentaires (y compris quelques points déjà mentionnés précédemment, pour le contexte):
- Aptoide nest pas un » zone unique pour les applications » comme Google Play ou Amazon App-Store. Cest plutôt comparable à ce que Launchpad est pour Ubuntu: tout le monde et sa petite sœur peuvent ouvrir leur propre dépôt ici, qui se présente comme un » store » séparés des autres. Il existe cependant « une recherche globale (pour les applications et les magasins).
- Il ny a quun seul référentiel qui est » organisé manuellement » par Aptoide lui-même, appelé » Apps « . Ici, léquipe Aptoide décide quelles applications entrent dans le référentiel.Ici, je…
- Je nai pas trouvé une seule » application payante piratée « , que ce soit pour de largent ou gratuitement
- a vérifié les signatures de certaines applications et trouvé quelles correspondent à celles de Google Play pour tout ce que jai vérifié
- ne me souviens daucune application sans » Trusted » stamp (ce qui signifie que lapplication ainsi marquée a été vérifiée pour les logiciels malveillants avec plusieurs scanners (y compris Aptoide propre » bouncer « ), les signatures ont été vérifiées pour correspondre à celles dautres marchés (principalement Google Play ), et plus encore – voir mon déjà a mentionné autre réponse pour plus de détails à ce sujet)
Ma conclusion est donc celle-ci est assez sûr dutiliser ce dépôt .
Cependant, jai également jeté un œil à plusieurs des autres dépôts – où vous pouvez en effet trouver beaucoup de » applications piratées » (les applications payantes de GPlay » gratuitement » sont toujours un signal pour cela) . À ces endroits, non seulement le cachet » de confiance » manquait souvent, mais à la place, jai souvent trouvé le » untrusted » stamp – ce qui signifie que lapplication a probablement été contaminée (les détails différaient; le plus souvent, jai trouvé que la signature était le problème: » il a été utilisé ailleurs pour signer un autre développeur package » est sûr à 99% dindiquer un » pirater « ).
Résumé: Une réponse générale ne peut pas être donnée ici (ce serait répondre à la question de savoir si » la Terre » est un endroit sûr où vivre). La sécurité dutilisation dAptoide dépend en grande partie de votre choix de référentiel. Lun est connu pour être organisé manuellement et, jose le dire, aussi sûr que Google Play , Amazon App Store , et dautres. Quelques-uns peuvent être considérés comme assez sûrs, surtout si vous en connaissez les propriétaires et tenez-vous en aux applications affichant le bouclier » de confiance » .
Évitez que les applications ne reçoivent le bouclier (actuellement vert) » de confiance « , surtout restez à lécart ceux qui affichent le bouclier (actuellement jaune) » non fiable « , il est préférable de sen tenir également au Dépôt des applications seul – et Aptoide devrait être un endroit sûr pour vous.
Je considère que le Apps référentiel suffisamment sûr pour le lier à partir de mes listes dapplications – à côté de F-Droid et Google Play .
Commentaires
- Si » fait confiance » , cest-à-dire que les applications vertes sont vérifiées à laide dune signature de Google Play, pourquoi est-il préférable de ne sen tenir quà le référentiel Apps seul?
- @hulkingtickets parce que de cette façon vous ne risquez ‘ t de » que de frapper accidentellement un jaune un « . Nous vivons tous nos moments de distraction (ou » quelquun dautre » utilise notre appareil).
Réponse
Aptoide est un site de piratage connu pour les applications Android. Si vous pensez quun site qui distribue sciemment des logiciels piratés est sûr, vous êtes plutôt optimiste.
Commentaires
- Vous ne devriez pas écrire quelque chose que vous ne pouvez pas revenir par les sources. Ce que vous écrivez, cest comme dire » Windows a toujours des virus « , » les utilisateurs dordinateurs sont les pirates « , etc. Avez-vous même lu la réponse de user64756 ? Il existe ‘ un référentiel organisé, et il existe des » dépôts privés « . Ce qui arrive au premier est contrôlé par le personnel – ce qui ne peut pas nécessairement être dit pour le second.
- Déchets. Aptoide est un site pirate depuis sa création et continue de profiter de la distribution de logiciels piratés. Prétendre que le personnel ne peut être tenu pour responsable de ce quil permet et dont il profite, cest de la sémantique.
- Ce que vous écrivez, cest comme dire » Piratebay nest pas un site de piratage. « : D
- Don ‘ t me faire rire. La première page daptoide promeut ouvertement les produits piratés. » oh, mais ce petit coin du site est propre » …oui, nous ‘ avons déjà entendu celui-là. Même vieux » oh, mais nous les sites torrent ne lient que vers le matériel, nous pouvons ‘ contrôler ce qui est publié « .
- Jai gagné ‘ t discuter avec vous. Jai eu des contacts étroits avec Paulo pendant un moment et jai ‘ observé Aptoide depuis environ un an maintenant. Ils ont leur propre référentiel avec près de 50.000 applications actuellement, ce qui est définitivement propre – et offrent à tout le monde douvrir et de maintenir son propre référentiel, où ils ne peuvent pas se porter garant du contenu. Vous pouvez signaler » ilk « , et il est supprimé – mais ils ne ‘ t » aller à la chasse » eux-mêmes. // Étant donné que les voleurs et les mafiosi utilisent des comptes bancaires, je vous recommande de rester à lécart des banques également – car les employés de banque ne vérifient également que si on le leur dit (désolé, ‘ t résister;) Ne ‘ t jeter le bébé avec leau du bain;)
Réponse
Jai récemment publié mon application Android Westward Dystopia UNIQUEMENT sur le Google Play Store et en quelques jours, je lai trouvée proposée sur Aptoide. Lorsque jai contacté lentreprise pour que le contenu soit supprimé, elle ma dit quelle ne le ferait pas à moins que je ne minscrive dabord à leur service et nouvre un compte avec elle.
Ce nest PAS la façon dont un site légitime est géré. Je ne leur ferais pas confiance dans la mesure où je pourrais les lancer. Attention aux utilisateurs.
Commentaires
- Voici le libellé exact de le-mail que jai reçu après avoir signalé le vol de mon contenu et lhébergement de celui-ci sur votre site: » Pour supprimer lapplication demandée, nous avons besoin de lURL Aptoide exacte où se trouve lapplication et ce nest pas suffisant pour nous envoyer une chaîne 1.- Soumettre une seule URL Nous vous suggérons ensuite de remplir le rapport dabus que vous pouvez trouver ici: aptoide.com/report/abuse Pour envoyer le formulaire, veuillez vous inscrire auprès de la même adresse e-mail de développeur Google Play ‘ et noubliez pas dactiver votre compte. »
- Jai ‘ nettoyé les commentaires ici. Merci davoir raconté votre expérience, regomar; toute personne souhaitant en discuter avec vous devrait vous inviter à Chat avec les passionnés dAndroid .