Hvor trygt er det å bruke Aptoide?

Som med den siste oppdateringen til Google Play ser man nå lenger listen over tillatelser som en app ber om installasjon / oppdatering 1 , jeg føler at personvernet mitt blir invadert. Enda verre, en app kan snike seg inn ekstra tillatelser med en oppdatering, og uten at brukeren vet 2,3 .

Så jeg ser på alternativer.

TL; DR:

Jeg vet at vi har Hva er de alternative Android-appmarkedene? , men a) som «s mer eller mindre en liste over andre markeder (uten å gi bakgrunn) 4 , og b) det nevner ikke engang Aptoide .

I don » t vil ha en annen app som må kjøre permanent i bakgrunnen for å » sjekke lisensgyldigheten «, så ting som Amazon Appstore eller AndroidPIT er ute. AppBrain er bare en annen frontend til Google Play – så fin som den er, den løser ikke problemet, for appinstallasjoner og oppdateringer må den bare omdirigeres til Google Play – som jeg heller vil » fly «.

Jeg har allerede sjekket ut F-Droid for noen dager siden, og føler det passer ganske godt til mine behov (følg lenken for detaljer) – men med omtrent 1.200 apper (per 6/2014) etterlater det for mange hull.

Aptoide i den andre enden sies mer enn 120.000 apper for øyeblikket. Som navnet antyder, bruker den APT stilregister, som jeg pleide å bruke fra Linux (Debian og derivater). Det lar deg til og med få din egen private repo for å dele apper mellom enheter (eller med venner). Alle apper tilbys gratis, så det er ikke behov for en » lisensserver «. Men hvor trygt er det for sluttbrukeren? Jeg har googlet (og dukket) i flere timer, men kunne ikke finne noen kilde på dette. I stedet fant jeg mange lenker av typen » får gratis betalte apper «, » svart marked «, og andre piratkopierte ting – som absolutt ikke er det jeg er ute etter. Jeg er mer enn åpen for å betale for gode apper 5 , så » å få dem gratis » er ikke meningen bak spørsmålet mitt. I likhet med F-Droid har Aptoide flere arkiver – men jeg kunne ikke finne ut om det er en sa » pålitelig » hovedlager som med F-Droid .

Det er relatert informasjon tilgjengelig i pakkebeskrivelsen (f.eks. denne ) som indikerer sikkerhetstiltak som skanning av skadelig programvare, signaturvalidering og validering fra tredjepart. Men som tilhørende nettside viser, synes denne informasjonen i det minste delvis å stole på tilbakemeldinger fra brukerne (som kan forfalskes / manipuleres), eller presenteres ikke engang til brukeren (pakkeinformasjonen, for eksempel, navngir 3 skannere som brukes til å sjekke, jeg finner ikke denne informasjonen på websiden). Selv om jeg kanskje kan slå opp ting via pakkeinformasjon, kan jeg ikke spørre f.eks. mine 70+ år gamle foreldre til å gjøre det. På denne siden , Aptoide påpeker også hvordan du ser resultatene av deres sikkerhetstiltak, og sier eksplisitt:

Aptoide Anti-Malware-plattform analyserer applikasjoner i kjøretid og deaktiverer potensielle trusler i alle butikker.

(Min vektlegging) – noe som antyder en malware-beskyttelse som kan sammenlignes med Google Play (hvordan går det sammen med de » ryktene på det svarte markedet «? Kanskje de ikke bare fjerner krenkende apper , men bare merke dem i stedet?).

Så til slutt

Spørsmålet:

Er det en måte å trygt bruke Aptoide som kilde for apper? Hvis ja, hvordan? 6 Hvis ikke, hvorfor ikke?

Bonuspoeng for en » idiot proof » måte kan anbefales til mindre erfarne brukere.


Fotnoter

1 Jeg vet at det ville være mulig å åpne Google Play Store nettsiden til appen, bla gjennom den og klikke på den tilhørende lenken når den blir funnet – men du kan ikke ring det brukervennlige, eller forvent at brukerne gjør dette ved hver oppdatering.
2 f.eksved første installasjon ba den om » intetanende » READ_PHONE_STATE med vanlig begrunnelse. Med en oppdatering kan den be om CALL_PHONE, PROCESS_OUTGOING_CALLS og andre – og Play-appen vil ikke ta det opp, ettersom de tilhører » samme gruppe «.
3 For å finne » nye tillatelser «, måtte man sammenligne de av installert versjon med de i dag. Ha det gøy!
4 Jeg har nettopp redigert to svar og lagt til noen detaljer på AppBrain og F-Droid for å fylle hullene
5 Jeg har kjøpt mange apper på Google Play (eller donert til dev direkte), og f.eks F-Droid har donasjonsknapper på hver apps side for å gjøre dette mulig
6 Jeg kunne tenke meg å vite (og begrense bruken til) » safe Aptoide repositories » dette kunne oppnås. Men som jeg skrev, kunne jeg ikke finne ut hvilke jeg skulle vurdere » trygge «. Aptoide-artikkelen på Wikipedia antyder der «sa » standardreferanse » ved installasjon, og flere repoer må legges til manuelt, så det kan være at den første er trygg.

Kommentarer

  • Jeg tror en appbutikk er like trygg som din tillit til kuratorene eller (i tilfelle en helt åpen appbutikk) utviklerne som sender inn apper. IMHO, for Aptoide, jeg ‘ d den i » like sikker som appen devs » kategorien. Men den ‘ s fordi jeg ikke vet noe om kuratorens interesser her. Jeg håper at selv om de bare gjorde det vanskeligere å finne ut om en apputvikler spør mer enn han / hun var for en tidligere versjon, har Google en interesse i å ikke ha ondsinnede apper spredt over deres økosystem. Ikke sikker på Aptoid ‘ s motiver.
  • Takk for kommentarer! Når det gjelder Google Play, er jeg ‘ ikke så opptatt av » ondsinnede apper » i sunn fornuft (selv om flere av dem slipper gjennom Google ‘ s kontroll en stund i ny og ne også), men heller for » datainnsamlere » og lignende (med Google som en av de største). Og det å ikke være sikker på Aptoid er grunnen til at jeg stiller dette spørsmålet 🙂 Jeg vil ikke ‘ ikke vil erstatte et problem med et annet. Og jeg vil vite sikkert hva jeg kan anbefale andre.
  • Ah dritt, jeg markerte dette ved en feiltakelse gutta, mine apologier! Det var et Stack Overflow-spørsmål i den andre fanen. At ‘ er mitt ledetråd for å ta en pause!
  • Du har utelatt et viktig poeng – tilbyr Aptoide til og med en appoppgraderingsprosess som varsler deg om tillatelsesendringer? Gitt den åpenbare reduksjonen i sikkerhet og sikkerhet når du bruker en desentralisert og piratkopiert infrastruktur, bør den tilby noen fordeler i tillegg til bare å ikke være Google. Hvis du ‘ er bekymret for luskede datainnsamlinger, vil jeg ‘ si at du ‘ i større fare når du får apper fra en butikk med apper lastet opp i bulk og ikke av utviklerne (og muligens endret).
  • @ProjectJourneyman Google Play gjør ikke ‘ t gi slike tips om oppdatering (hvis nye tillatelser legges til » den samme gruppen «). Med Aptoide, F-Droid og andre » Tredjepartsmarkeder «, må de alltid påberope seg » lokal pakkeinstallatør «, som viser deg alle tillatelser for appen som skal oppdateres / installeres før du kan fortsette å installere. Selv om det dessverre ikke er » diff » til den nåværende versjonen.

Svar

Takk for at du reiser disse spørsmålene. Her er litt informasjon om Aptoide som jeg håper er nyttig for deg og Stackexchange / Android-fellesskapet:

  1. Malware er noe vi tar veldig seriøst.Foreløpig har vi 3 forskjellige systemer for å oppdage skadelig programvare når de ankommer en hvilken som helst Aptoide-drevet appbutikk:
    • vi kjører 3 forskjellige antivirusprogrammer i emulatorer i løpetid
    • vi har en internt system med signaturer for å oppdage gjentatte trusler
    • vi har implementert en tillitskjede basert på signaturen til utvikleren
  2. Oppgaven med å skape et trygt miljø for sluttbrukeren er et bevegelig mål. Vi jobber med flere universiteter og forskningssentre, og i en fersk artikkel (ennå ikke publisert) sammenligner vi godt med de andre appbutikkene. Vi foreslo også et europeisk forskningsprosjekt med 2 antivirusbedrifter og 3 universiteter / forskningssentre for å håndtere dette emnet. Det er mye arbeid som skal gjøres, og tilbakemeldingene fra samfunnet er viktig.
  3. F-Droid er faktisk veldig lik Aptoide. De er en gaffel med Aptoide, og de vedlikeholder alle konseptene vi utviklet, som flere butikker. De har en mer sentralisert tilnærming og en sentral signatur som, selvfølgelig, er forskjellig fra vår tilnærming.
  4. På Aptoide har vi «Trusted» -stempelet. Hvis du ser det pålitelige stempelet i en app, er vi 99,99% sikre på at appen ikke inneholder en trussel mot sluttbrukeren.

Best,
Paulo Trezentos (Aptoide medstifter)

Kommentarer

  • Tusen takk for dine detaljer, Paulo! Selv om jeg forventet like mye, ‘ er bra å ha disse detaljene fra første hånd. Er det noe å si om hvilke arkiver som anses som » tryggere » / » main » (som den sentrale i F-Droid – som dessuten er IMHO den eneste som bruker den sentrale signaturen du nevnt i 3.), for å bli anbefalt til » mer forsiktig bruker » – eller trues de alle på samme måte? Hva med de » svarte markeder » Aptoide er relatert til så ofte? Og er » klarert » stempel på 4. kodet på en eller annen måte i XML I ‘ har nevnt (å være f.eks. automatisk oppdaget av et skript)?
  • @all Manglende detaljer har blitt sendt til meg per post, parallelt med Paulos ‘ innlegg her. Finn dem oppsummert i mitt svar til Hva er de alternative Android-appmarkedene?
  • Respekt, overbevist meg
  • Malware is something that we take very seriously Virkelig? Jeg rapporterte om et potensielt problem via webskjemaet deres og etter en uke skjedde ingenting. Se aptoide-how-to-report-potential-misbruk-uten-å-bli-medlem
  • Takk for svaret her. Kan du i tillegg forklare hvorfor appene har andre sertifikater enn originalene, og hvorfor mapper som » facebook «, » airbnb » eller » smaato.soma » injiseres i appks selv om originalen ikke hadde noen forbindelse til disse applikasjonene? Jeg snakker om » pålitelige » apper, f.eks. WhatsApp.

Svar

Etter Paulos svar , noen flere mailutvekslinger med ham, jeg har allerede skrevet en detaljert beskrivelse i mitt svar på et annet spørsmål – og også i en artikkel på mitt eget nettsted : Android Markets: Hvor trygge er alternative kilder?

Etter det fulgte jeg Aptoide helt siden den gang, og gjør det fortsatt – så la meg legge til noen flere detaljer (inkludert noen punkter som allerede er nevnt før, for kontekst):

  • Aptoide er ikke en » enkeltområde for apper » som Google Play eller Amazon App-Store. Det er ganske sammenlignbart med det som Launchpad er for Ubuntu: Alle og lillesøsteren hans kan åpne sitt eget lager her, som presenteres som en » butikk » atskilt fra de andre. Det er et globalt søk (etter apper og butikker).
  • Det er bare ett lager som er » manuelt kurert » av Aptoide selv, kalt » Apps «. Her bestemmer Aptoide-teamet hvilke apper som kommer inn i depotet.Her fant jeg…
    • ikke en enkelt » piratkopiert app «, det være seg for penger eller gratis
    • sjekket signaturene til noen apper og fant dem som samsvarer med de fra Google Play for alt jeg sjekket
    • husker ikke noen app uten » klarert » stempel (som betyr at den så merkede appen har blitt sjekket for skadelig programvare med flere skannere (inkludert Aptoides egen » bouncer «), signaturer er bekreftet for å matche de andre markedene (for det meste Google Play ) og mer – se min allerede nevnte annet svar for detaljer om dette)

Så min konklusjon er faktisk det er ganske trygt å bruke dette depotet .

Imidlertid har jeg også sett på flere av de andre arkivene – der du faktisk kan finne mange åpenbart » piratkopierte apper » (betalte apper fra GPlay » gratis » er alltid et signal for det) . På disse stedene manglet ikke bare » » stempelet – men i stedet fant jeg ofte » utro » stempel – noe som betyr at appen sannsynligvis var forurenset (detaljene var forskjellige; oftest fant jeg signaturen som problemet: » den ble brukt andre steder for å signere en annen utvikler -pakke » er 99% sikker på at den angir en » hack «).


Oppsummert: Et generelt svar kan ikke gis her (det vil svare på spørsmålet om » Jorden » er et trygt sted å bo). Hvor trygt det er å bruke Aptoide stort sett avhenger av ditt valg av depotet. En er kjent for å være kuratert manuelt, og jeg tør påstå, like trygg som Google Play , Amazon App Store og andre. Noen få kan antas å være ganske trygge – spesielt hvis du vet om eierne deres, og holder deg til apper som viser » klarert » skjold .

Unngå at apper får tildelt (for øyeblikket grønt) » klarert » skjold, vær spesielt godt klar de som viser det (for tiden gule) » upålitelige » skjoldet, hold deg best til Apper -lager alene – og Aptoide burde være et trygt sted for deg.

Jeg anser Apper depot trygt nok til å koble det fra applistene mine – ved siden av F-Droid og Google Play .

Kommentarer

  • Hvis » klarert » , dvs. grønne apper blir bekreftet ved hjelp av en signatur fra Google Play, hvorfor er det bedre å bare holde seg til Apps-arkivet alene?
  • @hulkingtickets fordi på den måten ikke ‘ t risikerer å » ved et uhell treffer en gul en «. Vi har alle øyeblikkene der vi blir distrahert (eller » noen andre » bruker enheten vår.

Svar

Aptoide er et kjent piratnettsted for Android-apper. Hvis du mener at et nettsted som bevisst distribuerer piratkopiert programvare er trygt, er du ganske optimistisk.

Kommentarer

  • Du bør ikke skrive noe du ikke kan støtte opp av kilder. Det du skriver er som å si » Windows har alltid virus «, » datamaskinbrukere er hackere » og lignende. Har du til og med lest svaret til user64756 ? Det ‘ er et kuratert depot, og det er » private repositories «. Det som kommer til det første styres av personalet – som ikke nødvendigvis kan sies for sistnevnte.
  • Søppel. Aptoide har vært et piratside siden oppstarten, og fortsetter å tjene på distribusjonen av piratkopiert programvare. Påstand om at personalet ikke kan holdes ansvarlig for det de muliggjør og tjener på, er i beste fall semantikk.
  • Det du skriver er som å si » Piratebay er ikke et piratkopieringsside. «: D
  • Ikke ‘ t får meg til å le. Forsiden av aptoide markedsfører piratkopierte produkter åpent. Går til » åh, men dette lille hjørnet av nettstedet er rent » …ja, vi ‘ har hørt den før. Samme gamle » åh, men vi torrent nettsteder lenker bare til materialet, vi kan ‘ t kontrollere hva som blir lagt ut «.
  • Jeg vant ‘ t krangle med deg. Jeg hadde nær kontakt med Paulo en stund, og jeg ‘ har observert Aptoide i omtrent et år nå. De har sin egen repo med for tiden nesten 50.000 apper, som definitivt er rene – og tilbyr alle å åpne og vedlikeholde sin egen repo, der de ikke kan garantere for innholdet. Du kan rapportere » lik «, og den blir fjernet – men de gjør ikke ‘ t » gå på jakt » seg selv. // Ettersom tyver og Mafiosi bruker bankkontoer, anbefaler jeg at du også holder deg unna banker – ettersom bankkontorer også bare sjekker om de får beskjed om det (beklager, kunne ikke ‘ ikke motstå;) Ikke ‘ t kast babyen ut med badevannet;)

Svar

Jeg ga nylig ut Android-appen Westward Dystopia KUN i Google Play-butikken, og i løpet av få dager fant jeg at den ble tilbudt på Aptoide. Da jeg kontaktet selskapet for å få fjernet innholdet, fortalte de meg at de ikke ville gjort det hvis jeg først registrerte meg for tjenesten deres og åpnet en konto hos dem.

Dette er IKKE måten et legitimt nettsted drives på. Jeg ville ikke stole på dem så langt jeg kunne kaste dem. Brukere pass opp.

Kommentarer

  • Dette er den eksakte formuleringen i e-postmeldingen jeg mottok etter å ha rapportert om tyveriet av innholdet mitt og være vert for det på nettstedet ditt: » For å fjerne den forespurte applikasjonen, må vi ha den nøyaktige Aptoide URL der applikasjonen står og det er ikke tilstrekkelig å sende oss en streng. 1. – Send inn en enkelt URL Vi foreslår deretter at du fyller ut misbruksrapporten som du finner her: aptoide.com/report/abuse For å sende inn skjemaet må du registrere deg hos den samme Google Play-utvikleren ‘ s e-post og ikke glemme å aktivere kontoen din. »
  • Jeg ‘ har ryddet opp i kommentarene her. Takk for at du forteller om din opplevelse, regomar. Alle som ønsker å diskutere det med deg, bør invitere deg til Chat for Android-entusiaster .

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *