Hoe veilig is het om Aptoide te gebruiken?

Net als bij de laatste update van Google Play ziet men nu langer de volledige lijst met toestemmingen die door een app worden gevraagd bij installatie / update 1 , ik voel dat mijn privacy is geschonden. Erger nog, een app zou met een update extra rechten kunnen binnensluipen en zonder dat de gebruiker 2,3 weet.

Dus ik ben op zoek naar alternatieven.

TL; DR:

Ik weet dat we “ve got Wat zijn de alternatieve markten voor Android-apps? , maar a) dat is min of meer een lijst van andere markten (zonder achtergronden op te geven) 4 , en b) Aptoide wordt niet eens genoemd.

Ik don ik wil een andere app die permanent op de achtergrond moet draaien om ” de geldigheid van de licentie te controleren “, dus zaken als de Amazon Appstore of AndroidPIT zijn niet beschikbaar. AppBrain is gewoon een andere front-end voor Google Play – hoe mooi het ook is, het lost het probleem niet op, want voor app-installaties en updates hoeft het alleen maar om te leiden naar Google Play – waar ik eerder over ga ” vluchten “.

Ik “heb F-Droid een paar dagen geleden al uitgecheckt en voel dat het behoorlijk aan mijn behoeften voldoet (volg de link voor details) – maar met zowat 1.200 apps (vanaf 6/2014) laat het te veel hiaten achter.

Aptoide aan de andere kant zou serveren momenteel meer dan 120.000 apps . Zoals de naam doet vermoeden, gebruikt het APT -stijl repositories, die ik gewend ben van Linux (Debian en afgeleiden). Je kunt er zelfs je eigen privé-opslagplaats hebben om apps te delen tussen apparaten (of met vrienden). Alle apps worden gratis aangeboden, dus een ” licentieserver ” is niet nodig. Maar hoe veilig is het voor de eindgebruiker? Ik heb urenlang gegoogeld (en gedoken), maar kon niet vinden elke bron hierover. In plaats daarvan vond ik veel links van het type ” krijg gratis betaalde apps “, ” zwarte markt “, en andere op piraterij gerichte dingen – en dat is absoluut niet wat ik wil. Ik sta meer dan open om te betalen voor goede apps 5 , dus ” ze gratis krijgen ” is niet de bedoeling achter mijn vraag. Net als F-Droid heeft Aptoide meerdere opslagplaatsen – maar ik kon niet “achterhalen of er” een ” betrouwbaar is ” hoofdrepository zoals met F-Droid .

Er is gerelateerde informatie beschikbaar in de pakketbeschrijving (bijv. deze ) die veiligheidsmaatregelen aangeeft, zoals malwarescan, handtekeningvalidatie en validatie door derden. Maar zoals de bijbehorende webpagina laat zien, lijkt deze informatie op zijn minst gedeeltelijk te zijn gebaseerd op gebruikersfeedback (die kan worden vervalst / gemanipuleerd), of wordt zelfs niet gepresenteerd aan de gebruiker (de pakketinfo noemt bijvoorbeeld 3 scanners die zijn gebruikt om te controleren, ik kan deze info niet vinden op de webpagina). Hoewel ik misschien dingen kan opzoeken via pakketinformatie, kan ik bijvoorbeeld niet vragen mijn ouders van meer dan 70 jaar om dit te doen. Op deze pagina geeft Aptoide ook aan hoe de resultaten van hun beveiligingsmaatregelen kunnen worden bekeken, en vermeldt expliciet:

Aptoide Anti-Malware-platform analyseert applicaties in run-time en schakelt potentiële bedreigingen uit in alle winkels.

(nadruk van mij) – wat een malwarebescherming suggereert die vergelijkbaar is met die van Google Play (hoe gaat dat samen met die ” geruchten op de zwarte markt “? Misschien verwijderen beledigende apps gewoon niet , maar in plaats daarvan alleen markeren ?).

Tot slot

De vraag:

Is er een manier om Aptoide veilig te gebruiken als bron voor apps? Zo ja, hoe? 6 Zo nee, waarom niet?

Bonuspunten voor een ” idiot proof ” manier waarop zou kunnen worden aanbevolen aan minder ervaren gebruikers.


Voetnoten

1 Ik weet dat het mogelijk is om de Google Play Store -webpagina van de app te openen, erdoorheen te scrollen en op de bijbehorende link te klikken wanneer deze is gevonden – maar je kunt noem dat gebruiksvriendelijk, of verwacht dat gebruikers dit bij elke update doen.
2 bijvbij de eerste installatie verzocht het om ” nietsvermoedende ” READ_PHONE_STATE met de gebruikelijke rechtvaardiging. Met een update zou het om CALL_PHONE, PROCESS_OUTGOING_CALLS en anderen kunnen vragen – en de Play-app zou dat niet ter sprake brengen, aangezien ze behoren tot de ” dezelfde groep “.
3 Om ” nieuwe rechten ” te berekenen, moest men die van de geïnstalleerde versie met die van de huidige. Veel plezier!
4 Ik heb zojuist twee antwoorden bewerkt en wat details toegevoegd op AppBrain en F-Droid om die hiaten op te vullen
5 Ik “heb veel apps gekocht op Google Play (of gedoneerd aan de dev rechtstreeks), en bijv F-Droid heeft donatieknoppen op de pagina van elke app om dit mogelijk te maken
6 Ik kon het me voorstellen door te weten (en je gebruik te beperken tot) ” veilige Aptoide-opslagplaatsen ” worden bereikt. Maar zoals ik al schreef, kon ik er niet achter komen welke ik ” veilig ” moest beschouwen. Het Aptoide-artikel op Wikipedia suggereert dat er “sa ” standaard opslagplaats ” bij installatie, en meer repos moeten handmatig worden toegevoegd; dus het is veilig om vast te houden aan die eerste.

Reacties

  • Ik denk een app store is net zo veilig als je vertrouwen voor de curatoren of (in het geval van een volledig open app store) de ontwikkelaars die apps indienen. IMHO, voor Aptoide, heb ik ‘ gezet het in de ” net zo veilig als de app-ontwikkelaar ” categorie. Maar dat ‘ s omdat ik hier niets weet over de interesses van de curatoren. Ik hoop dat, hoewel ze het moeilijker hebben gemaakt om erachter te komen of een app-ontwikkelaar meer vraagt dan hij / zij was voor een eerdere versie, Google er een gevestigd belang bij heeft om geen kwaadaardige apps verspreiden zich over hun ecosysteem. Niet zeker over de motieven van Aptoid ‘.
  • Bedankt voor de opmerkingen! Wat Google Play betreft, ik ‘ maak me niet zo veel zorgen over ” kwaadaardige apps ” in de gewone zin (hoewel een aantal van hen zo nu en dan door de controle van Google ‘ glippen), maar eerder voor ” gegevensverzamelaars ” en dergelijke (waarbij Google een van de grootste is). En omdat ik niet zeker ben van Aptoid, is de reden waarom ik deze vraag stel 🙂 Ik ‘ wil een probleem niet vervangen door een ander. En ik wil zeker weten wat ik anderen kan aanbevelen.
  • Ah rotzooi, ik heb dit per ongeluk gemarkeerd jongens, mijn excuses! Het was een Stack Overflow-vraag op het andere tabblad. Dat ‘ is mijn signaal om een pauze te nemen!
  • Je hebt een belangrijk punt weggelaten – biedt Aptoide zelfs een app-upgradeproces aan dat je op de hoogte stelt van wijzigingen in de machtiging? Gezien de duidelijke afname van de beveiliging en veiligheid bij het gebruik van een gedecentraliseerde en door piraterij geteisterde infrastructuur, zou het enkele voordelen moeten bieden naast het feit dat het gewoon geen Google is. Als je ‘ je zorgen maakt over stiekeme gegevensverzameling, zou ik ‘ zeggen dat je ‘ re in meer gevaar wanneer apps worden opgehaald van een storefront met apps die in bulk zijn geüpload en niet door de ontwikkelaars (en mogelijk gewijzigd).
  • @ProjectJourneyman Google Play doet geen ‘ t geef zulke hints over het updaten (als er nieuwe rechten worden toegevoegd aan ” dezelfde groep “). Omdat Aptoide, F-Droid en anderen ” markten van derden ” zijn, moeten ze altijd de installatieprogramma voor lokale pakketten “, dat u alle toestemmingen toont van de app-die moet worden bijgewerkt / geïnstalleerd vóór kunt u doorgaan met installeren. Alhoewel helaas geen ” diff ” naar de huidige versie.

Antwoord

Bedankt voor het stellen van deze vragen. Hier is wat informatie over Aptoide waarvan ik hoop dat het nuttig is voor u en de Stackexchange / Android-gemeenschap:

  1. Malware is iets dat we zeer serieus nemen.Momenteel hebben we 3 verschillende systemen om malware te detecteren wanneer ze aankomen in een door Aptoide aangedreven app store:
    • we draaien 3 verschillende antivirusprogrammas in emulators in runtime
    • we hebben een intern systeem van handtekeningen om terugkerende bedreigingen te detecteren
    • we hebben een vertrouwensketen geïmplementeerd op basis van de handtekening van de ontwikkelaar
  2. De taak om een veilige omgeving voor de eindgebruiker is een bewegend doelwit. We werken samen met verschillende universiteiten en onderzoekscentra en in een recent artikel (nog niet gepubliceerd) doen we het goed met de andere app stores. We hebben ook een Europees onderzoeksproject voorgesteld met 2 antivirusbedrijven en 3 universiteiten / onderzoekscentra om dit onderwerp aan te pakken. Er is veel werk aan de winkel en de feedback van de gemeenschap is belangrijk.
  3. F-Droid lijkt in feite erg op Aptoide. Ze zijn een vork van Aptoide en ze onderhouden alle concepten die we hebben ontwikkeld, zoals meerdere winkels. Ze hebben een meer gecentraliseerde aanpak en een centrale handtekening, die natuurlijk anders is dan onze aanpak.
  4. Bij Aptoide hebben we het stempel “Trusted”. Als u de Trusted-stempel in een app ziet, zijn we 99,99% zeker dat de app geen bedreiging voor de eindgebruiker bevat.

Beste,
Paulo Trezentos (Aptoide mede-oprichter)

Opmerkingen

  • Hartelijk dank voor je gegevens, Paulo! Hoewel ik dit verwachtte, was het ‘ Het is goed om deze details uit de eerste hand te hebben. Is er iets te zeggen over welke opslagplaatsen worden beschouwd als ” veiliger ” / ” main ” (zoals de centrale in F-Droid – die bovendien IMHO de enige is die de centrale handtekening gebruikt genoemd in 3.), aan te bevelen aan de ” meer voorzichtige gebruiker ” – of worden ze allemaal op dezelfde manier behandeld? Hoe zit het met die ” zwarte markten ” Aptoide is zo vaak gerelateerd aan? En is de ” vertrouwd ” stempel van 4. ergens gecodeerd in de XML die ik ‘ heb genoemd (bijv. automatisch gedetecteerd door een script)?
  • @all Ontbrekende details zijn per post naar mij gestuurd, parallel aan het bericht van Paulo ‘ s hier. Vind ze opgesomd in mijn antwoord op Wat zijn de alternatieve markten voor Android-apps?
  • Respect, overtuigde me
  • Malware is something that we take very seriously Echt waar? Ik heb een mogelijk probleem gemeld via hun webformulier en daarna een week gebeurde er niets. Zie aptoide-hoe-mogelijk-misbruik-te-melden-zonder-lid te worden
  • Bedankt voor uw antwoord hier. Kunt u ook uitleggen waarom de apks andere certificaten hebben dan de originelen en waarom mappen zoals ” facebook “, ” airbnb ” of ” smaato.soma ” worden in de apks, zelfs als het origineel geen verbinding had met deze applicaties? Ik heb het over ” vertrouwde ” apps, bijv. WhatsApp.

Antwoord

Na Paulo “s antwoord , nog wat uitwisselingen met hem, ik heb al een gedetailleerde beschrijving geschreven in mijn antwoord op een andere vraag – en ook in een artikel op mijn eigen site : Android Markets: hoe veilig zijn alternatieve bronnen?

Daarna heb ik Aptoide sindsdien nauwlettend in de gaten gehouden, en dat doe ik nog steeds – dus laat me nog een paar details toevoegen (inclusief enkele punten die al eerder zijn genoemd, voor context):

  • Aptoide is geen ” één gebied voor apps ” zoals Google Play of de Amazon App-Store. Het is redelijk vergelijkbaar met wat Launchpad is voor Ubuntu: iedereen en zijn kleine zusje kunnen hier hun eigen repository openen, die wordt gepresenteerd als een ” store ” gescheiden van de anderen. Er is echter “een globale zoekopdracht (voor apps en winkels).
  • Er is maar één opslagplaats die ” handmatig is samengesteld ” door Aptoide zelf, genaamd ” Apps “. Hier beslist het Aptoide-team welke apps de repository binnenkomen.Hier …
    • heb ik geen enkele ” illegale betaalde app ” gevonden, of het nu voor geld of gratis is
    • controleerde de handtekeningen van sommige apps en vond dat ze overeenkwamen met die van Google Play voor alles wat ik controleerde
    • herinner me geen enkele app zonder de ” vertrouwde ” stempel (wat betekent dat de zo gemarkeerde app met meerdere scanners op malware is gecontroleerd (inclusief Aptoides eigen ” uitsmijter “), handtekeningen zijn geverifieerd om overeen te komen met die van andere markten (meestal Google Play ), en meer – zie mijn al vermeld ander antwoord voor details hierover)

Dus mijn conclusie is in feite is redelijk veilig om deze repository te gebruiken.

Ik heb echter ook een aantal van de andere repositories bekeken – waar je inderdaad veel ” illegale apps ” (betaalde apps van GPlay ” gratis ” zijn daar altijd een signaal voor) . Op die plaatsen ontbrak niet alleen de ” vertrouwde ” -stempel vaak, maar in plaats daarvan vond ik vaak de ” niet-vertrouwd ” stempel – wat betekent dat de app waarschijnlijk besmet was (details verschilden; meestal vond ik de handtekening het probleem: ” het werd ergens anders gebruikt om een ander ontwikkelaars pakket te ondertekenen ” is voor 99% zeker dat het een ” hack “).


Samengevat: Een algemeen antwoord kan hier niet worden gegeven (dat zou het antwoord zijn op de vraag of ” de aarde ” is een veilige plek om te wonen). Hoe veilig het is om Aptoide te gebruiken, hangt grotendeels af van uw keuze van de repository. Van een daarvan is bekend dat deze handmatig is samengesteld en, naar ik durf te zeggen, net zo veilig is als Google Play , Amazon App Store en andere. Een paar kunnen als redelijk veilig worden beschouwd – vooral als je dit weet over hun eigenaren, en je houdt je aan apps die het ” vertrouwde ” -schild tonen .

Voorkom dat apps niet het (momenteel groene) ” vertrouwde ” -schild krijgen toegewezen, en blijf vooral uit de buurt van degenen die het (momenteel gele) ” niet-vertrouwde ” -schild vertonen, kunt u het beste ook bij het Apps repository alleen – en Aptoide zou een veilige plek voor je moeten zijn.

Ik beschouw de Apps -opslagplaats die veilig genoeg is om deze te koppelen vanuit mijn app-lijsten – naast F-Droid en Google Play .

Reacties

  • Als ” vertrouwd ” , dwz groene apps worden geverifieerd met een handtekening van Google Play, waarom is het beter om alleen vast te houden aan alleen de Apps-repository?
  • @hulkingtickets omdat je op die manier ‘ niet het risico loopt ” per ongeluk een gele een “. We hebben allemaal momenten waarop we worden afgeleid (of ” iemand anders ” gebruikt ons apparaat).

Answer

Aptoide is een bekende piraterijsite voor Android-apps. Als u denkt dat een site die willens en wetens illegale software verspreidt, veilig is, bent u behoorlijk optimistisch.

Opmerkingen

  • Schrijf niet iets dat u niet kunt steunen omhoog door bronnen. Wat u schrijft, is als ” zeggen: Windows bevat altijd virussen “, ” computergebruikers zijn hackers ” en dergelijke. Heb je het antwoord van user64756 zelfs gelezen? Er is ‘ een beheerde repository, en er zijn ” privé-repositories “. Wat naar het eerste komt, wordt gecontroleerd door personeel – wat niet noodzakelijkerwijs gezegd kan worden voor het laatste.
  • Onzin. Aptoide is vanaf het begin een piratensite en blijft profiteren van de distributie van illegale software. Beweren dat het personeel niet verantwoordelijk kan worden gehouden voor datgene dat ze mogelijk maken en waarvan ze profiteren, is op zijn best semantiek.
  • Wat je schrijft is als zeggen ” Piratebay is dat niet een piraterijsite. “: D
  • Laat ‘ me niet lachen. De voorpagina van aptoide maakt openlijk reclame voor illegale producten. Gaat ” oh, maar dit kleine hoekje van de site is schoon ” …ja, we ‘ hebben dat eerder gehoord. Dezelfde oude ” oh, maar wij torrent-sites linken alleen naar het materiaal, we kunnen ‘ bepalen wat er wordt gepost “.
  • Ik heb ‘ geen ruzie met je gemaakt. Ik heb een tijdje nauw contact gehad met Paulo en ik ‘ heb Aptoide nu ongeveer een jaar geobserveerd. Ze hebben hun eigen repo met momenteel bijna 50.000 apps, wat absoluut schoon is – en bieden iedereen de mogelijkheid om zijn / haar eigen repo te openen en te onderhouden, waar ze niet kunnen instaan voor de inhoud. U kunt ” ilk ” rapporteren, en het wordt verwijderd – maar ze ‘ t ” gaan op ” zelf jagen. // Aangezien dieven en maffiosi bankrekeningen gebruiken, raad ik u aan om ook uit de buurt van banken te blijven – aangezien bankmedewerkers ook alleen controleren of u dat wordt verteld (sorry, kon ‘ t weerstaan;) Don ‘ gooi de baby niet weg met het badwater;)

Antwoord

Ik heb onlangs mijn Android-app Westward Dystopia ALLEEN in de Google Play Store uitgebracht en binnen enkele dagen werd deze aangeboden op Aptoide. Toen ik contact opnam met het bedrijf om de inhoud te laten verwijderen, vertelden ze me dat dit niet zou gebeuren tenzij ik me eerst voor hun service had geregistreerd en een account bij hen had geopend.

Dit is NIET de manier waarop een legitieme site wordt beheerd. Ik zou ze niet vertrouwen voor zover ik ze kon gooien. Gebruikers opgelet.

Opmerkingen

  • Dit is de exacte bewoording in de e-mail die ik ontving na het melden van de diefstal van mijn inhoud en het hosten ervan op uw site: ” Om de gevraagde applicatie te verwijderen, hebben we de exacte Aptoide-URL nodig waar de applicatie staat en deze is niet voldoende om ons een string te sturen 1.- Een enkele URL indienen We raden u aan om het misbruikrapport in te vullen dat u hier kunt vinden: aptoide.com/report/abuse Om het formulier in te dienen, registreert u zich bij hetzelfde ‘ e-mailadres van dezelfde Google Play-ontwikkelaar en vergeet niet uw account te activeren. ”
  • Ik ‘ heb de opmerkingen hier opgeruimd. Bedankt voor het vertellen van je ervaring, regomar; iedereen die het met je wil bespreken, moet je uitnodigen om Chatten met Android-enthousiastelingen .

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *