Luglio 29, 2020
Articles
Nessun commento

Quanto è sicuro usare Aptoide?

Come con lultimo aggiornamento di Google Play , ora è più visibile lelenco completo delle autorizzazioni richieste da unapp durante linstallazione / laggiornamento 1 , sento che la mia privacy è invasa. Ancora peggio, unapp potrebbe ottenere autorizzazioni aggiuntive con un aggiornamento e senza che lutente sappia 2,3 .

Quindi sto cercando alternative.

TL; DR:

So che abbiamo Quali sono i mercati alternativi di app Android? , ma a) quello “s più o meno un elenco di altri mercati (senza fornire sfondi) 4 , eb) non si parla nemmeno di Aptoide .

Io no ” Voglio unaltra app che deve essere eseguita in background in modo permanente per ” verificare la validità della licenza “, quindi cose come Amazon Appstore o AndroidPIT sono disponibili. AppBrain è solo un altro front-end di Google Play – così bello comè, non risolve il problema, poiché per le installazioni e gli aggiornamenti delle app deve solo reindirizzare a Google Play – cosa che preferisco ” fuggire “.

Ho già controllato F-Droid alcuni giorni fa e ritengo che si adatti alle mie esigenze (segui il link per i dettagli) – ma con solo circa 1.200 app (al 6/2014) lascia troppe lacune.

Aptoide sullaltra estremità dovrebbe pubblicare attualmente più di 120.000 app . Come suggerisce il nome, utilizza i repository in stile APT , a cui sono abituato da Linux (Debian e derivati). Ti permette anche di avere il tuo repository privato per condividere app tra dispositivi (o con gli amici). Tutte le app sono offerte gratuitamente, quindi non è necessario un ” server delle licenze “. Ma quanto è sicuro per lutente finale? Ho “cercato su Google (e mi sono nascosto) per ore, ma non sono riuscito a trovare qualsiasi fonte su questo. Invece ho trovato molti link del tipo ” ottieni app a pagamento gratuitamente “, ” mercato nero ” e altre cose orientate alla pirateria, il che non è sicuramente quello che “cerco”. Sono più che disposto a pagare per buone app 5 , quindi ” ottenerli gratuitamente ” non è lintenzione dietro la mia domanda. Come F-Droid , Aptoide ha più repository, ma non sono riuscito a capire se ci sono “” affidabili ” repository principale come con F-Droid .

Sono disponibili informazioni correlate nella descrizione del pacchetto (ad es. questo ) che indica misure di sicurezza come scansione antimalware, convalida della firma e convalida di terze parti. Ma come mostra la pagina web corrispondente , queste informazioni sembrano basarsi almeno in parte sul feedback degli utenti (che potrebbero essere falsificate / manipolate), o non vengono nemmeno presentate allutente (le informazioni sul pacchetto, ad esempio, i nomi di 3 scanner utilizzati per controllare, non riesco a trovare queste informazioni sulla pagina web). Anche se potrei essere in grado di cercare le cose tramite le informazioni sul pacchetto, non posso chiedere ad es. i miei genitori di oltre 70 anni per farlo. In questa pagina , Aptoide indica anche come visualizzare i risultati delle proprie misure di sicurezza e afferma esplicitamente:

La piattaforma Aptoide Anti-Malware analizza le applicazioni in fase di esecuzione e disabilita le potenziali minacce in tutti i negozi.

(Enfasi mia) – che suggerisce una protezione antimalware paragonabile a quella di Google Play (come va daccordo con quelle ” voci sul mercato nero “? Forse semplicemente non rimuove app offensive , ma solo contrassegnarli invece?).

Quindi, finalmente

La domanda:

Esiste un modo per utilizzare in sicurezza Aptoide come sorgente per le app? In caso affermativo, come? 6 In caso contrario, perché no?

Punti bonus per un ” prova di idiota ” in cui potrebbe essere consigliato agli utenti meno esperti.

Note a piè di pagina

1 So che sarebbe possibile aprire la pagina web dellapp Google Play Store , scorrerla e fare clic sul link corrispondente quando lo trovi, ma non puoi “t chiamalo user-friendly o aspettati che gli utenti lo facciano ad ogni aggiornamento.
2 esalla prima installazione richiedeva ” ignaro ” READ_PHONE_STATE con la solita giustificazione. Con un aggiornamento, potrebbe richiedere CALL_PHONE, PROCESS_OUTGOING_CALLS e altri – e lapp Play non lo visualizzerebbe, poiché appartengono a lo ” stesso gruppo “.
3 Per calcolare i ” nuovi permessi “, è stato necessario confrontare quelli dei versione installata con quelle di quella attuale. Buon divertimento!
4 Ho appena modificato due risposte e aggiunto alcuni dettagli su AppBrain e F-Droid per colmare queste lacune
5 Ho “acquistato molte app su Google Play (o donate a direttamente lo sviluppatore), e ad es F-Droid ha pulsanti di donazione sulla pagina di ogni app per rendere possibile questo
6 Potrei immaginare sapendo (e limitando il tuo utilizzo a) ” repository Aptoide sicuri ” questo potrebbe ma come ho scritto, non sono riuscito a capire quali considerare ” safe “. L articolo di Aptoide su Wikipedia suggerisce che “sa ” repository predefinito ” durante linstallazione e altri repository devono essere aggiunti manualmente; quindi potrebbe essere sicuro attenersi a quello primo.

Commenti

  • Penso un app store è sicuro quanto la tua fiducia per i curatori o (nel caso di un app store completamente aperto) per gli sviluppatori che inviano app. IMHO, per Aptoide, ‘ ho messo nella categoria ” altrettanto sicura della categoria ” dellapp. Ma quella ‘ s perché non so nulla degli interessi dei curatori qui. Spero che anche se hanno reso più difficile capire se uno sviluppatore di app chiede più di quanto non chiedesse per una versione precedente, Google ha un interesse acquisito a non avere app dannose si sono diffuse nel loro ecosistema. Non sono sicuro delle ‘ motivazioni di Aptoid.
  • Grazie per il Commenti! Per quanto riguarda Google Play, ‘ non sono molto preoccupato per le ” app dannose ” nel senso comune (sebbene molti di loro sfuggano al controllo di Google ‘ per un po di tanto in tanto anche), ma piuttosto per ” raccoglitori di dati ” e simili (con Google uno dei più grandi). E non essere sicuro di Aptoid è il motivo per cui pongo questa domanda 🙂 ‘ non voglio sostituire un problema con un altro. E voglio sapere con certezza cosa posso consigliare agli altri.
  • Ah merda, lho segnalato per errore ragazzi, mie scuse! Era una domanda di Stack Overflow nellaltra scheda. Questo ‘ è il mio spunto per fare una pausa!
  • Hai tralasciato un punto importante: Aptoide offre anche un processo di aggiornamento dellapp che ti notifica le modifiche alle autorizzazioni? Data lovvia diminuzione della sicurezza e della sicurezza quando si utilizza uninfrastruttura decentralizzata e controllata dalla pirateria, dovrebbe offrire alcuni vantaggi oltre a non essere Google. Se ‘ sei preoccupato per la raccolta di dati subdoli, ‘ direi che ‘ in maggiore pericolo quando si ottengono app da una vetrina con app caricate in blocco e non dagli sviluppatori (ed eventualmente modificate).
  • @ProjectJourneyman Google Play non ‘ t dare tali suggerimenti sullaggiornamento (se vengono aggiunti nuovi permessi allo ” lo stesso gruppo “). Dato che Aptoide, F-Droid e altri sono ” mercati di terze parti “, devono sempre richiamare ” programma di installazione del pacchetto locale “, che mostra tutte le autorizzazioni dellapp da aggiornare / installare prima di puoi procedere con linstallazione. Tuttavia, sfortunatamente, non ” diff ” alla versione corrente.

Rispondi

Grazie per aver sollevato queste domande. Ecco alcune informazioni su Aptoide che spero siano utili per te e per la comunità Stackexchange / Android:

  1. Il malware è qualcosa che prendiamo molto sul serio.Al momento, abbiamo 3 diversi sistemi per rilevare il malware non appena arriva in qualsiasi app store basato su Aptoide:
    • eseguiamo 3 diversi antivirus negli emulatori in fase di esecuzione
    • abbiamo un sistema di firme interno per rilevare minacce ricorrenti
    • abbiamo implementato una catena di fiducia basata sulla firma dello sviluppatore
  2. Il compito di creare un ambiente sicuro per lutente finale è un bersaglio mobile. Stiamo lavorando con diverse università e centri di ricerca e in un recente articolo (non ancora pubblicato) ci confrontiamo bene con gli altri app store. Abbiamo anche proposto un progetto di ricerca europeo con 2 aziende antivirus e 3 università / centri di ricerca per affrontare questo argomento. Cè molto lavoro da fare e il feedback della community è importante.
  3. F-Droid è infatti molto simile ad Aptoide. Sono un fork di Aptoide e mantengono tutti i concetti che abbiamo sviluppato, come più negozi. Hanno un approccio più centralizzato e una firma centrale che ovviamente è diversa dal nostro approccio.
  4. In Aptoide abbiamo il marchio “Trusted”. Se vedi il timbro Attendibile in unapp, siamo sicuri al 99,99% che lapp non contenga una minaccia per lutente finale.

Cordiali saluti,
Paulo Trezentos (Aptoide co-fondatore)

Commenti

  • Grazie mille per i tuoi dettagli, Paulo! Anche se me lo aspettavo, ‘ è bene avere questi dettagli di prima mano. Cè qualcosa da dire su quali repository sono considerati ” più sicuri ” / ” main ” (come quello centrale in F-Droid – che inoltre è IMHO lunico che utilizza la firma centrale tu menzionato in 3.), da consigliare all ” utente più cauto ” – o sono tutti minacciati allo stesso modo? E quelli ” mercati neri ” Aptoide è collegato così spesso? Ed è ” attendibile ” timbro di 4. in qualche modo codificato nellXML che ‘ ho menzionato (ad es. rilevato automaticamente da uno script)?
  • @all I dettagli mancanti mi sono stati inviati per posta, parallelamente al post di Paulo ‘ qui. Trovali riassunti nella mia risposta a Quali sono i mercati alternativi di app Android?
  • Rispetto, mi ha convinto
  • Malware is something that we take very seriously Davvero? Ho segnalato un potenziale problema tramite il loro modulo web e dopo una settimana non è successo niente. Vedi aptoide-come-segnalare-un-potenziale-abuso-senza-diventare-un-membro
  • Grazie per aver risposto qui. Puoi inoltre spiegare perché gli apk hanno certificati diversi dagli originali e perché cartelle come ” facebook “, ” airbnb ” o ” smaato.soma ” vengono iniettati nel apks anche se loriginale non aveva alcun collegamento con queste applicazioni? Sto parlando di app ” attendibili “, ad es. WhatsApp.

Rispondi

Dopo la risposta di Paulo , altri scambi di posta con lui, ho già scritto una descrizione dettagliata nella mia risposta a unaltra domanda – e anche in un articolo sul mio sito : Mercati Android: quanto sono sicure le fonti alternative?

In seguito, da allora ho seguito da vicino Aptoide e lo faccio tuttora – permettimi quindi di aggiungere qualche dettaglio in più (inclusi alcuni punti già menzionati prima, per il contesto):

  • Aptoide non è un ” area singola per app ” come Google Play o Amazon App-Store. È piuttosto paragonabile a quanto Launchpad è per Ubuntu: tutti e la sua sorellina possono aprire il proprio repository qui, che viene presentato come un ” store ” separato dagli altri. Tuttavia, esiste una ricerca globale (per app e negozi).
  • Esiste un solo repository ” curato manualmente ” di Aptoide stesso, chiamato ” App “. Qui il team di Aptoide decide quali app stanno entrando nel repository.Qui…
    • Non ho trovato una sola ” app piratata a pagamento “, sia per denaro che gratis
    • ha controllato le firme di alcune app e le ho trovate corrispondenti a quelle di Google Play per tutte. Ho controllato
    • non ricordo nessuna app senza ” fidato ” timbro (il che significa che lapp così contrassegnata è stata controllata per rilevare la presenza di malware con più scanner (incluso il ” bouncer “), le firme sono state verificate per corrispondere a quelle di altri mercati (principalmente Google Play ) e altro ancora – vedi il mio già menzionato altra risposta per i dettagli su questo)

Quindi la mia conclusione è in effetti è abbastanza sicuro da usare questo repository .

Tuttavia, ho anche dato unocchiata a molti degli altri repository – dove puoi trovare molti ovviamente ” app piratate ” (le app a pagamento da GPlay ” gratuitamente ” sono sempre un segnale per questo) . In quei luoghi, non solo il timbro ” fidato ” mancava spesso, ma spesso trovavo il ” untrusted ” timbro – il che significa che lapp era probabilmente contaminata (i dettagli erano diversi; molto spesso ho trovato la firma il problema: ” è stato utilizzato altrove per firmare un altro sviluppatore pacchetto ” è sicuro al 99% di indicare un ” hack “).

Riepilogo: Qui non è possibile fornire una risposta generale (risponderebbe alla domanda se ” la Terra ” è un posto sicuro in cui vivere). Quanto sia sicuro usare Aptoide dipende dalla scelta del repository. Uno è noto per essere curato manualmente e, oserei dire, sicuro come Google Play , Amazon App Store e altri. Alcuni possono essere considerati abbastanza sicuri, soprattutto se conosci i loro proprietari e segui le app che mostrano lo scudo ” trusted ” .

Evita che alle app non venga assegnato lo scudo ” trusted ” (attualmente verde), soprattutto stai alla larga da quelli che mostrano lo scudo ” non attendibile ” (attualmente giallo), è meglio attenersi anche allo scudo Solo repository Apps e Aptoide dovrebbe essere un luogo sicuro per te.

Considero il Apps abbastanza sicuro da collegarlo da i miei elenchi di app , accanto a F-Droid e Google Play .

Commenti

  • Se ” attendibile ” , ovvero le app verdi vengono verificate utilizzando una firma di Google Play, perché è meglio attenersi solo a solo il repository di Google Apps?
  • @hulkingtickets perché in questo modo non ‘ rischi di ” colpire accidentalmente un giallo uno “. Tutti noi abbiamo i nostri momenti in cui siamo distratti (o ” qualcun altro ” sta usando il nostro dispositivo).

Risposta

Aptoide è un noto sito di pirateria per app Android. Se pensi che un sito che distribuisce consapevolmente software piratato sia sicuro, sei piuttosto ottimista.

Commenti

  • Non dovresti scrivere qualcosa che non puoi sostenere dalle fonti. Quello che scrivi è come dire ” Windows ha sempre dei virus “, ” gli utenti di computer sono hacker ” e simili. Hai mai letto la risposta di user64756 ? ‘ è un repository curato e sono disponibili ” repository privati “. Ciò che arriva al primo è controllato dal personale, il che non può necessariamente essere detto per il secondo.
  • Spazzatura. Aptoide è stato un sito pirata sin dal suo inizio e continua a trarre profitto dalla distribuzione di software piratato. Affermare che lo staff non può essere ritenuto responsabile di ciò che abilita e da cui trarre profitto, è semantica nella migliore delle ipotesi.
  • Quello che scrivi è come dire ” Piratebay non lo è un sito di pirateria. “: D
  • Non ‘ farmi ridere. La prima pagina di aptoide promuove apertamente i prodotti piratati. Sto andando a ” oh, ma questo piccolo angolo del sito è pulito ” …sì, ‘ ne abbiamo già sentito parlare. Lo stesso vecchio ” oh, ma i siti torrent si collegano solo al materiale, possiamo ‘ t controllare cosa viene pubblicato “.
  • Non ho ‘ discutere con te. Sono stato in stretto contatto con Paulo per un po e ‘ ho osservato Aptoide da circa un anno. Hanno il loro repository con quasi 50.000 app attualmente, che è decisamente pulito – e offrono a tutti di aprire e mantenere il proprio repository, dove non possono garantire il contenuto. Puoi segnalare ” ilk ” e verrà rimosso, ma non ‘ t ” andare a caccia ” da soli. // Dato che ladri e mafiosi usano conti bancari, ti consiglio di stare alla larga anche dalle banche – poiché anche gli impiegati di banca controllano solo se glielo viene detto (scusa, ‘ t resistere;) Non ‘ t buttare fuori il bambino con lacqua sporca;)

Rispondi

Recentemente ho rilasciato la mia app per Android Westward Dystopia SOLO sul Google Play Store e in pochi giorni lho trovata offerta su Aptoide. Quando ho contattato lazienda per ottenere la rimozione del contenuto, mi hanno detto che non lavrebbero fatto a meno che non mi fossi registrato prima per il loro servizio e avessi aperto un account con loro.

Questo NON è il modo in cui viene eseguito un sito legittimo. Non mi fiderei di loro per quanto potrei lanciarli. Utenti attenti.

Commenti

  • Questa è la formulazione esatta nellemail che ho ricevuto dopo aver segnalato il furto dei miei contenuti e lhosting degli stessi sul tuo sito: ” Per rimuovere lapplicazione richiesta, dobbiamo avere lesatto URL di Aptoide dove si trova lapplicazione e non è sufficiente per inviarci una stringa 1.- Invio di un singolo URL Ti suggeriamo quindi di compilare la segnalazione di abuso che puoi trovare qui: aptoide.com/report/abuse Per inviare il modulo, registrati con lo stesso indirizzo email dello sviluppatore di Google Play ‘ e non dimenticare di attivare il tuo account. ”
  • ‘ ho ripulito i commenti qui. Grazie per aver raccontato la tua esperienza, regomar; chiunque desideri discuterne con te dovrebbe invitarti a Chat per appassionati di Android .

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *