július 29, 2020
Articles
Nincs hozzászólás

Mennyire biztonságos az Aptoide használata?

A Google Play legutóbbi frissítéséhez hasonlóan mostantól most is látja az alkalmazás által kért engedélyek teljes listáját a telepítés / frissítés során 1 , úgy érzem, hogy a magánéletem megsértődött. Ennél is rosszabb, hogy egy alkalmazás további engedélyeket tudhat magáénak egy frissítéssel, és anélkül, hogy a felhasználó tudná a 2,3 -ot.

Tehát alternatívákra törekszem.

TL; DR:

Tudom, hogy Mik az alternatív Android-alkalmazások piacai? , de a) többé-kevésbé más piacok felsorolása (háttér megadása nélkül) 4 , és b) nem is említi az Aptoide t.

Nem ” nem akar egy másik alkalmazást, amelynek állandóan a háttérben kell futtatnia, hogy ” ellenőrizze a licenc érvényességét “, így például a Amazon Appstore vagy AndroidPIT nem elérhető. AppBrain csak egy újabb előtér a Google Play hez – bármilyen szép is, nem oldja meg a problémát, mivel az alkalmazás telepítésekhez és frissítésekhez egyszerűen át kell irányítania a Google Play szolgáltatásba – amelyről inkább arra készülök, hogy ” meneküljek “.

Néhány nappal ezelőtt már megnéztem az F-Droid alkalmazást , és úgy érzem, hogy ez eléggé megfelel az igényeimnek (kövesse a link a részletekért) – de kb. 1,200 alkalmazással (2014/6-tól) túl sok hiányosságot hagy maga után.

Aptoide a másik végén állítólag szolgál jelenleg több mint 120 000 alkalmazás . Ahogy a neve is sugallja, APT stílusú adattárakat használ, amelyeket Linuxról szoktam használni (Debian és annak származékai). Lehetővé teszi még saját privát repó létrehozását is alkalmazások megosztása az eszközök között (vagy ismerőseivel). Minden alkalmazás ingyenesen elérhető, ezért nincs szükség ” licenckiszolgálóra “. De mennyire biztonságos a végfelhasználó számára? Órákig gugliztam (és bújtam), de nem találtam bármilyen forrás erről. Ehelyett sok olyan linket találtam, amely ” típusú fizetős alkalmazásokat kap ingyen “, ” fekete piac ” és más kalózkodás-orientált dolgok – ami biztosan nem az, amit “követek.” Több mint nyitott vagyok fizetni a jó alkalmazásokért 5 , tehát ” ingyen megszerzés ” nem a kérdésem mögött áll. Az F-Droid hoz hasonlóan az Aptoide nak is több tárhelye van – de nem tudtam kideríteni, hogy vannak-e megbízhatóak

” fő adattár, hasonlóan az F-Droid hoz.

Kapcsolódó információk állnak rendelkezésre a csomag leírásában (pl. ez ) olyan biztonsági intézkedéseket mutat be, mint a rosszindulatú programok vizsgálata, az aláírás érvényesítése és a harmadik fél általi érvényesítés. De amint azt a megfelelő weboldal is mutatja, úgy tűnik, hogy ezek az információk legalább részben a felhasználói visszajelzésekre támaszkodnak (amelyeket hamisítani / manipulálni lehet), vagy nem is kerülnek bemutatásra. a felhasználónak (a csomag info pl. 3 szkennert nevez meg az ellenőrzéshez, ezeket az információkat nem találom a weboldalon). Bár lehet, hogy a csomag információin keresztül tudok utánanézni a dolgoknak, nem kérdezhetek pl. a 70 év feletti szüleim. Az ezen az oldalon az Aptoide rámutat arra is, hogyan tekinthetők meg biztonsági intézkedéseik eredményei, és kifejezetten kijelenti:

Az Aptoide Anti-Malware platform futás közben elemzi az alkalmazásokat, és minden üzletben letiltja az esetleges fenyegetéseket .

(Kiemelés az enyém) – ami a Google Play hez hasonló kártékony programok elleni védelmet javasol (hogyan összeillik ezekkel a ” feketepiaci pletykákkal “? Talán csak nem “távolítják el” a sértő alkalmazásokat , de csak jelölje meg őket helyett?).

Tehát végül

A kérdés:

Van-e olyan módszer, amely biztonságosan használja az Aptoide t alkalmazások forrásaként? Ha igen, hogyan? 6 Ha nem, miért ne?

Bónuszpontok ” idióta bizonyíték ” módon kevésbé tapasztalt felhasználóknak ajánlható.

Lábjegyzetek

1 Tudom, hogy lehetséges lenne megnyitni az alkalmazás Google Play Áruház weboldalát, végiggörgetni, és a megtalált linkre kattintva megtalálni – de nem lehet hívja ezt felhasználóbarátnak, vagy elvárja, hogy a felhasználók ezt megtegyék minden frissítéskor.
2 plelső telepítéskor a ” gyanútlan ” READ_PHONE_STATE -t kérte a szokásos indoklással. Frissítéssel kérheti a következőt: CALL_PHONE, PROCESS_OUTGOING_CALLS és mások – és a Play alkalmazás ezt nem hozná fel, mivel tartoznak a ” ugyanaz a csoport “.
3 ” új engedélyek ” ábrázolásához össze kellett hasonlítani a telepített változata a jelenlegi verzióival. Jó szórakozást!
4 Csak két választ szerkesztettem, és néhány részletet hozzáadtam az AppBrain és F-Droid alkalmazáson, hogy kitöltse ezeket a hiányosságokat
5 Sok alkalmazást vásároltam a Google Play en (vagy adományoztam a dev közvetlenül), és pl Az F-Droid adománygombokkal rendelkezik az egyes alkalmazások oldalain, hogy ezt lehetővé lehessen tenni
6 El tudnám képzelni, ha ismerem (és korlátozom a használatát) ” biztonságos Aptoide tárolókat ” De ahogy írtam, nem tudtam kideríteni, hogy melyiket tartsam ” biztonságosnak “. Az Aptoide cikk a Wikipédiáról azt javasolja, hogy “sa ” alapértelmezett repo ” telepítéskor, és további repókat manuálisan kell hozzáadni, ezért előfordulhat, hogy ragaszkodik az elsőhöz.

Megjegyzések

  • szerintem egy alkalmazásbolt ugyanolyan biztonságos, mint a bizalom a kurátorok vagy (egy teljesen nyitott alkalmazásbolt esetén) az alkalmazásokat elküldõ fejlesztõk számára. IMHO, az Aptoide esetében én ‘ tettem a ” éppúgy biztonságos, mint az alkalmazás devs ” kategóriában. De ez ‘ s mivel semmit sem tudok a kurátorok érdekeiről. Remélem, hogy bár csak megnehezítették, hogy kiderítsék, egy alkalmazás fejlesztője többet kér-e, mint egy korábbi verzió, a Google-nak érdeke fűződik ahhoz, hogy ne rosszindulatú alkalmazások terjedtek el ökoszisztémájukban. Nem biztos az Aptoid ‘ motívumaiban.
  • Köszönjük a Hozzászólások! Ami a Google Playt illeti, én ‘ nem aggódom annyira a ” rosszindulatú alkalmazások miatt ” a józan ésszel (bár közülük többen hébe-hóba át is csúsznak egy ideig a Google ‘ vezérlésén keresztül), inkább a ” adatgyűjtők ” és hasonlók (a Google az egyik legnagyobb). És nem vagyok biztos az Aptoidban, ezért teszem fel ezt a kérdést 🙂 Nem akarok ‘ problémát mással helyettesíteni. És biztosan szeretném tudni, mit tudok ajánlani másoknak.
  • Ó, baromság, ezt tévedésből jelöltem meg srácok, apolgim! Stack Overflow kérdés volt a másik fülön. Ez ‘ az, hogy szünetet tartsak!
  • Kihagyott egy fontos pontot – kínál-e az Aptoide egy olyan alkalmazásfrissítési folyamatot is, amely értesíti Önt az engedély megváltozásáról? Tekintettel a biztonság és a biztonság nyilvánvaló csökkenésére, amikor decentralizált és kalózkodás által sújtott infrastruktúrát használnak, ennek bizonyos előnyöket kell kínálnia azon kívül, hogy nem Google. Ha ‘ aggódik az alattomos adatgyűjtés miatt, akkor ‘ azt mondom, hogy ‘ újra nagyobb veszélyben van, ha alkalmazásokat szerez be egy kirakatról, tömegesen és nem a fejlesztők által feltöltött (és esetleg módosított) alkalmazásokkal.
  • @ProjectJourneyman A Google Play nem ‘ t adjon ilyen tippeket a frissítéshez (ha új engedélyeket adunk ” ugyanazon csoporthoz “). Ha Aptoide, F-Droid és mások ” harmadik fél piacai ” vannak, mindig meg kell hívniuk a ” helyi csomagtelepítő “, amely megmutatja a frissítendő / telepítendő alkalmazás összes összes engedélyét folytathatja a telepítést. Bár sajnos nem egy ” diff ” az aktuális verzióhoz.

Válasz

Köszönjük, hogy felvetette ezeket a kérdéseket. Íme néhány információ az Aptoide-ról, remélem, hogy hasznos lesz az Ön és a Stackexchange / Android közösség számára:

  1. A rosszindulatú programokat nagyon komolyan vesszük.Jelenleg 3 különböző rendszerünk van a rosszindulatú programok észlelésére, amikor azok bármely Aptoide-alapú alkalmazásboltba megérkeznek:
    • 3 különböző vírusirtót futtatunk emulátorokban futás közben
    • van egy házon belüli aláírások rendszere az ismétlődő fenyegetések felderítésére
    • megvalósítottuk a fejlesztő aláírásán alapuló bizalmi láncot
  2. A létrehozás feladata a végfelhasználó számára biztonságos környezet mozgó célpont. Több egyetemmel és kutatóközponttal dolgozunk együtt, és egy nemrégiben közzétett cikkben (még nem tették közzé) jól összehasonlítjuk a többi alkalmazásboltot. Javasoltunk egy európai kutatási projektet is 2 vírusirtó vállalattal és 3 egyetemmel / kutatóközponttal ennek a témának a kezelésére. Sok a munka, és fontos a közösség visszajelzése.
  3. Az F-Droid valójában nagyon hasonlít az Aptoide-ra. Ők az Aptoide elágazásai, és fenntartják az általunk kidolgozott összes koncepciót, mint például több üzlet. Centralizáltabb megközelítéssel és központi aláírással rendelkeznek, amely természetesen eltér a mi megközelítésünktől.
  4. Az Aptoide-nál a “Megbízható” bélyegzőt használjuk. Ha látja a Megbízható bélyegzőt egy alkalmazásban, 99,99% -ban biztosak vagyunk abban, hogy az alkalmazás nem tartalmaz fenyegetést a végfelhasználóra nézve.

Legjobb,
Paulo Trezentos (Aptoide társalapító)

Hozzászólások

  • Nagyon köszönöm a részleteket, Paulo! Bár számítottam rá, ‘ jó, ha ezek a részletek első kézből vannak. Mondhatunk valamit arról, hogy mely tárhelyeket tartják ” biztonságosabbnak ” / ” main ” (mint az F-Droid központi része – amely mellett IMHO az egyetlen, aki a központi aláírást használja a 3.) pontban említett, ajánlott a ” óvatosabb felhasználónak ” – vagy mindegyiket hasonlóan fenyegetik? Mi van azokkal ” fekete piacok ” Az Aptoide ilyen gyakran kapcsolódik? És megbízható-e a ” id = “7fe12f86a5”>

4-es bélyegzője, valahogy kódolva az XML-ben I ‘ említettem (pl. automatikusan észleli egy szkript)?

  • @minden hiányzó részletet elküldtem nekem postai úton, párhuzamosan Paulo ‘ ide írt bejegyzésével. Megtalálja őket összefoglalva a következőben: válaszom a következőre: Melyek az alternatív Android-alkalmazások piacai?
  • Tisztelet, meggyőzött
  • Malware is something that we take very seriously Tényleg? Jelentettem egy lehetséges problémát a weblapjukon keresztül és utána egy hétig nem történt semmi. Lásd: aptoide-how-to-report-potenciális-visszaélés-nélkül-taggá válni

  • Köszönjük, hogy itt válaszolt. Meg tudja magyarázni, hogy miért vannak az apks-ok más tanúsítványokkal, mint az eredetiek, és miért olyan mappák, mint a ” facebook “, ” airbnb ” vagy ” smaato.soma ” injekcióval akkor is, ha az eredetinek nem volt kapcsolata ezekhez az alkalmazásokhoz? ” megbízható ” alkalmazásokról beszélek, pl. WhatsApp.

    • Válasz

    Paulo válasza után , még néhány levélváltás vele, már írtam egy részletes leírást a válaszomban egy másik kérdésre – és a saját webhelyem egyik cikkében is : Android Markets: Mennyire biztonságosak az alternatív források?

    Ezt követően azóta is gondosan figyelem az Aptoide-ot, és még mindig – hadd tegyek hozzá még néhány részletet (ideértve néhány, már korábban említett pontot a kontextushoz):

    • Az Aptoide nem egy ” egyetlen terület az olyan alkalmazásokhoz, “, mint a Google Play vagy az Amazon App-Store. Ez inkább összehasonlítható a Launchpad az Ubuntu számára készült: Itt mindenki és kishúga megnyithatja a saját adattárát, amelyet ” áruházként elválasztva a többitől. Van azonban globális keresés (alkalmazások és üzletek számára).
    • Csak egy tár található, amelyet ” manuálisan kurálnak ” maga Aptoide, az úgynevezett ” alkalmazások “. Itt az Aptoide csapata eldönti, hogy milyen alkalmazások lépnek be a tárba.Itt …
      • nem találtam egyetlen ” kalóz fizetett alkalmazást “, legyen az pénzért vagy ingyen
      • ellenőrizte egyes alkalmazások aláírásait, és megállapította, hogy azok megfelelnek a Google Play ből azoknak, amelyeket ellenőriztem
      • ne emlékezzen egyetlen alkalmazásra sem a ” megbízható ” bélyegző (vagyis az így megjelölt alkalmazást több szkennerrel (köztük az Aptoide “saját kidobó “), az aláírásokat igazolták, hogy megfeleljenek más piacok (főleg Google Play ) aláírásainak, és még sok más – lásd a már említett egyéb választ a részletekért)

    Tehát a következtetésem valójában az nagyon biztonságos használni ezt az adattárat .

    Ugyanakkor megnéztem több más tárhelyet is – ahol valóban rengeteg nyilvánvalóan megtalálható ” kalóz alkalmazások ” (a GPlay fizetős alkalmazásai ” ingyen ” mindig jelzik ezt) . Ezeken a helyeken nemcsak a ” megbízható ” bélyegző hiányzott gyakran, hanem gyakran találtam a ” nem megbízható ” bélyegző – ami azt jelenti, hogy az alkalmazás valószínűleg szennyezett volt (a részletek eltértek; leggyakrabban az aláírást találtam a problémának: ” másutt használták egy másik fejlesztő csomag aláírásához ” 99% -ban biztosan ” hack “).

    Összefoglalva: Itt nem lehet általános választ adni (ez arra a kérdésre ad választ, hogy ” a Föld biztonságos lakóhely). Az, hogy mennyire biztonságos az Aptoide használata, nagyban függ a tároló választásától. Az egyik ismert, hogy manuálisan kurátora, és bátran merem mondani, olyan biztonságos, mint a Google Play , az Amazon App Store és mások. Néhányat elég biztonságosnak lehet feltételezni – különösen, ha tudsz róla a tulajdonosukról, és ragaszkodj ahhoz az alkalmazáshoz, amely a ” megbízható ” pajzsot mutatja .

    Kerülje el, hogy az alkalmazások ne kapják meg a (jelenleg zöld) ” megbízható ” pajzsot, különösen tartsa távol magát azok, akik a (jelenleg sárga) ” nem megbízható ” pajzsot mutatják, a legjobban a Alkalmazások tárház önmagában – és az Aptoide nek biztonságos helynek kell lennie az Ön számára.

    Úgy vélem, hogy az Alkalmazások adattár elég biztonságos ahhoz, hogy összekapcsolhassa az alkalmazáslistáimmal – az F-Droid és a Google Play mellett .

    Megjegyzések

    • Ha ” megbízható ” , azaz a zöld alkalmazásokat a Google Play aláírásával ellenőrzik, miért jobb csak ragaszkodni egyedül az Apps adattárat?
    • @hulkingtickets, mert így nem ‘ kockáztathatja, hogy ” véletlenül megüt egy sárga színt egy “. Mindannyiunknak vannak olyan pillanataink, amikor elterelődünk (vagy ” valaki más ” használja az eszközünket).

    Válasz

    Az Aptoide az Android-alkalmazások ismert kalózkodási webhelye. Ha úgy gondolja, hogy bármely webhely, amely tudatosan terjeszt kalózszoftvereket, biztonságos, akkor elég optimista.

    Megjegyzések

    • Ne írjon olyasmit, amelyet nem tud visszaadni források szerint. Amit írsz, azt mondod, hogy ” a Windows mindig vírusokkal rendelkezik “, ” a számítógép-felhasználók hackerek ” és hasonlók. Olvastad már a user64756 válaszát is? ‘ van egy kurátortár, és vannak ” privát adattárak “. Ami az elsőre esik, azt a személyzet ellenőrzi – ami utóbbira nem feltétlenül mondható el.
    • Szemét. Az Aptoide megalapítása óta kalózoldal, és továbbra is profitál a kalózszoftverek terjesztéséből. Az az állítás, hogy a személyzet nem tehető felelőssé azért, amiért lehetővé teszik és profitálnak belőle, a szemantika a legjobb.
    • Amit írsz, olyan, mintha azt mondanád, hogy kalózkodási webhely. “: D
    • Don ‘ ne röhögjön ki. Az aptoide címlapja nyíltan népszerűsíti a kalóztermékeket. ” ó, de a webhelynek ez a kis sarka tiszta ” …igen, ezt már ‘ hallottuk. Ugyanaz a régi ” ó, de a torrent webhelyek csak az anyagra hivatkoznak, ‘ nem tudjuk ellenőrizni, hogy mi kerül feladásra “.
    • Nem vívtam ‘ t. Egy ideig szoros kapcsolatban álltam Paulóval, és már körülbelül egy éve megfigyeltem ‘ Aptoide-ot. Saját repójuk van, jelenleg csaknem 50 000 alkalmazással, ami egyértelműen tiszta – és mindenkinek felajánlja, hogy nyissa meg és tartsa fenn saját repóját, ahol nem tanúsíthatják a tartalmat. Jelenthet ” ilk “, és az eltávolításra kerül – de nem ‘ t ” maguk vadásznak “. // Mivel a tolvajok és a maffiózusok bankszámlákat használnak, azt javaslom, hogy maradjon távol a bankoktól is – mivel a banki ügyintézők is csak akkor ellenőrzik, ha ezt mondják nekik (sajnálom, nem tudtam ellenállni;) Don ‘ ne dobja ki a babát a fürdővízzel;)

    válasz

    Nemrég CSAK a Google Play áruházban tettem közzé a Westward Dystopia Android-alkalmazásomat, és napokon belül rájöttem, hogy az Aptoide-ban kínálják. Amikor megkerestem a vállalatot a tartalom eltávolításáért, azt mondták, hogy nem fognak, csak ha először regisztrálok a szolgáltatásukra, és nem nyitok számlát náluk.

    A legitim webhely NEM így működik. Nem bíznék bennük, amennyire el tudnám dobni őket. A felhasználók vigyázzanak.

    Megjegyzések

    • Ez a pontos megfogalmazás a kapott e-mailben miután bejelentettem a tartalmam lopását és a webhelyen való tárolást: ” A kért alkalmazás eltávolításához rendelkezünk kell az Aptoide URL-lel, ahol az alkalmazás áll, és ez nem elegendő 1.- Egyetlen URL küldése Ezután javasoljuk, hogy töltse ki a visszaélési jelentést, amelyet itt talál: aptoide.com/report/abuse Az űrlap elküldéséhez regisztrálja magát ugyanazon Google Play fejlesztői ‘ e-mail címen, és ne felejtse el aktiválni fiókját. ”
    • I ‘ megtisztítottam az itt található megjegyzéseket. Köszönjük, hogy megosztotta tapasztalatait, regomar; aki szeretne veled megbeszélni, hívja meg a Android-rajongók cseveghetnek .

    Vélemény, hozzászólás?

    Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük