Jak bezpieczne jest stosowanie Aptoide?

Podobnie jak w najnowszej aktualizacji Google Play , teraz jest już widoczna pełna lista uprawnień wymaganych przez aplikację podczas instalacji / aktualizacji 1 , czuję, że moja prywatność została naruszona. Co gorsza, aplikacja może wkraść się w dodatkowe uprawnienia wraz z aktualizacją i bez wiedzy użytkownika 2,3 .

Dlatego szukam alternatyw.

TL; DR:

Wiem, że mamy Jakie są alternatywne rynki aplikacji na Androida? , ale a) to mniej więcej lista innych rynków (bez podania tła) 4 , oraz b) nawet nie wspominam o Aptoide .

Nie. Nie chcę innej aplikacji, która musi stale działać w tle, aby ” sprawdzić ważność licencji „, więc takie rzeczy jak Amazon Appstore lub AndroidPIT są niedostępne. AppBrain jest po prostu kolejnym interfejsem do Google Play – tak fajny, jak jest, nie rozwiązuje problemu, ponieważ w przypadku instalacji i aktualizacji aplikacji wystarczy przekierować do Google Play – co raczej mam zamiar ” uciekać „.

Kilka dni temu sprawdziłem już F-Droid i czuję, że pasuje do moich potrzeb (śledź link do szczegółów) – ale przy tylko około 1.200 aplikacji (stan na 6/2014) pozostawia zbyt wiele luk.

Aptoide na drugim końcu ma służyć obecnie ponad 120 000 aplikacji . Jak nazwa sugeruje, używa repozytoriów w stylu APT , do których przywykłem z Linuksa (Debian i pochodne). Pozwala nawet na posiadanie własnego prywatnego repozytorium do udostępniania aplikacji między urządzeniami (lub z przyjaciółmi). Wszystkie aplikacje są oferowane za darmo, więc nie ma potrzeby posiadania ” serwera licencji „. Ale jak bezpieczne jest to dla użytkownika końcowego? Przez wiele godzin szukałem w Google (i uchylałem się) jakiekolwiek źródło na ten temat. Zamiast tego znalazłem wiele linków typu ” pobierz płatne aplikacje za darmo „, ” czarny rynek ” i inne rzeczy związane z piractwem – co zdecydowanie nie jest tym, czego szukam. Jestem bardziej niż otwarty, aby płacić za dobre aplikacje 5 , więc ” otrzymanie ich za darmo ” nie jest celem mojego pytania. Podobnie jak F-Droid , Aptoide ma wiele repozytoriów – ale nie mogłem się dowiedzieć, czy są ” zaufane ” główne repozytorium, takie jak F-Droid .

W opisie pakietu dostępne są powiązane informacje (np. ten ) wskazujący środki bezpieczeństwa, takie jak skanowanie złośliwego oprogramowania, weryfikacja podpisów i weryfikacja przez strony trzecie. Ale jak pokazuje strona internetowa , informacje te wydają się przynajmniej częściowo polegać na opiniach użytkowników (które mogą być sfałszowane / manipulowane) lub nawet nie są prezentowane do użytkownika (informacje o pakiecie np. wymieniają 3 skanery używane do sprawdzenia, nie mogę znaleźć tych informacji na stronie). Chociaż mogę być w stanie sprawdzić informacje o pakiecie, nie mogę zapytać np. moi rodzice w wieku 70+. Na tej stronie Aptoide wskazuje również, jak wyświetlić wyniki ich środków bezpieczeństwa, i wyraźnie stwierdza:

Platforma Aptoide Anti-Malware analizuje aplikacje w czasie wykonywania i wyłącza potencjalne zagrożenia we wszystkich sklepach.

(Podkreślenie moje) – co sugeruje ochronę przed złośliwym oprogramowaniem porównywalną do tej z Google Play (jak czy to idzie w parze z tymi ” plotkami na czarnym rynku „? Może po prostu nie usuwają obraźliwych aplikacji , ale tylko zaznaczyć je zamiast tego?).

Na koniec

Pytanie:

Czy istnieje sposób, aby bezpiecznie używać Aptoide jako źródła aplikacji? Jeśli tak, w jaki sposób? 6 Jeśli nie, dlaczego nie?

Dodatkowe punkty za ” idiotyczny ” sposób, może być polecany mniej doświadczonym użytkownikom.


Przypisy

1 Wiem, że możliwe byłoby otwarcie strony internetowej Sklepu Google Play aplikacji, przewinięcie jej i kliknięcie odpowiedniego linku po znalezieniu – ale nie można „t nazwij to przyjaznym dla użytkownika lub spodziewaj się, że użytkownicy będą to robić przy każdej aktualizacji.
2 npprzy pierwszej instalacji zażądał ” niczego nie podejrzewającego ” READ_PHONE_STATE ze zwykłym uzasadnieniem. Po aktualizacji może zażądać CALL_PHONE, PROCESS_OUTGOING_CALLS i innych – a aplikacja Play nie wyświetli tego, ponieważ należą do ” ta sama grupa „.
3 Aby obliczyć ” nowe uprawnienia „, należało porównać uprawnienia zainstalowana wersja z wersją obecną. Baw się dobrze!
4 Właśnie zredagowałem dwie odpowiedzi i dodałem kilka szczegółów na AppBrain i F-Droid , aby wypełnić te luki
5 Kupiłem wiele aplikacji w Google Play (lub podarowałem dev bezpośrednio), oraz np F-Droid ma przyciski darowizny na stronie każdej aplikacji, aby to umożliwić
6 Mogę sobie wyobrazić, wiedząc (i ograniczając twoje użycie) ” bezpieczne repozytoria Aptoide ” to może ale jak pisałem, nie mogłem się dowiedzieć, które z nich uważać za ” bezpieczne „. Artykuł Aptoide w Wikipedii sugeruje istnienie domyślnego repozytorium „sa ” ” podczas instalacji i więcej repozytoriów należy dodać ręcznie, więc może trzymanie się tego pierwszego jest bezpieczne.

Komentarze

  • Myślę, że sklep z aplikacjami jest tak samo bezpieczny, jak Twoje zaufanie dla kuratorów lub (w przypadku całkowicie otwartego sklepu z aplikacjami) programistów, którzy przesyłają aplikacje. IMHO, w przypadku Aptoide, ' d umieścić jest w kategorii ” tak samo bezpieczna jak twórcy aplikacji „. Ale to ' bo nie wiem nic o zainteresowaniach kuratorów. Mam nadzieję, że chociaż utrudniają oni ustalenie, czy twórca aplikacji prosi o więcej niż on poprzednią wersję, Google ma żywotny interes w tym, aby nie mieć złośliwe aplikacje rozprzestrzeniły się w ich ekosystemie. Nie jestem pewien co do motywów Aptoid '.
  • Dziękuję za komentarze! Jeśli chodzi o Google Play, ' nie przejmuję się zbytnio ” złośliwymi aplikacjami ” w zdrowym rozsądku (chociaż kilka z nich prześlizguje się przez Google ' na chwilę od czasu do czasu), ale raczej dla ” kolektory danych ” i tym podobne (przy czym Google jest jednym z największych). A brak pewności co do Aptoida jest powodem, dla którego zadaję to pytanie 🙂 Nie ' nie chcę zastępować problemu innym. I chcę wiedzieć na pewno, co mogę polecić innym.
  • O cholera, przez pomyłkę oznaczyłem to chłopaki, moje przeprosiny! Na drugiej karcie było to pytanie dotyczące przepełnienia stosu. To ' to moja wskazówka, aby zrobić sobie przerwę!
  • Pominąłeś ważną kwestię – czy Aptoide oferuje w ogóle proces aktualizacji aplikacji, który powiadamia Cię o zmianach uprawnień? Biorąc pod uwagę oczywisty spadek bezpieczeństwa i ochrony podczas korzystania ze zdecentralizowanej i pirackiej infrastruktury, powinna ona oferować pewne korzyści poza tym, że nie jest Google. Jeśli ' martwisz się podstępnym zbieraniem danych, ' d powiem, że ' ponownie w przypadku pobierania aplikacji ze sklepu z aplikacjami przesłanymi zbiorczo, a nie przez programistów (i prawdopodobnie zmodyfikowanymi).
  • @ProjectJourneyman Google Play nie ' t podaj takie wskazówki dotyczące aktualizacji (jeśli nowe uprawnienia zostaną dodane do ” tej samej grupy „). Ponieważ Aptoide, F-Droid i inne są ” rynkami innych firm „, zawsze muszą wywoływać ” lokalny instalator pakietów „, który pokazuje wszystkie uprawnienia aplikacji, która ma zostać zaktualizowana / zainstalowana przed możesz przystąpić do instalacji. Chociaż niestety nie jest to ” diff ” do aktualnej wersji.

Odpowiedz

Dziękujemy za zadanie tych pytań. Oto kilka informacji o Aptoide, które, mam nadzieję, są przydatne dla Ciebie i społeczności Stackexchange / Androida:

  1. Złośliwe oprogramowanie to coś, co traktujemy bardzo poważnie.Obecnie mamy 3 różne systemy do wykrywania złośliwego oprogramowania, gdy docierają do dowolnego sklepu z aplikacjami opartego na Aptoide:
    • uruchamiamy 3 różne programy antywirusowe w emulatorach w czasie wykonywania
    • mamy wewnętrzny system sygnatur do wykrywania powtarzających się zagrożeń
    • wdrożyliśmy łańcuch zaufania oparty na sygnaturze programisty
  2. Zadanie tworzenia bezpieczne środowisko dla użytkownika końcowego jest ruchomym celem. Współpracujemy z kilkoma uniwersytetami i ośrodkami badawczymi, aw niedawnym artykule (jeszcze nie opublikowanym) dobrze porównujemy z innymi sklepami z aplikacjami. Zaproponowaliśmy również europejski projekt badawczy z 2 firmami antywirusowymi i 3 uniwersytetami / ośrodkami badawczymi, aby zająć się tym tematem. Jest dużo do zrobienia, a opinie społeczności są ważne.
  3. F-Droid jest w rzeczywistości bardzo podobny do Aptoide. Są rozwidleniem Aptoide i zachowują wszystkie koncepcje, które opracowaliśmy, jak wiele sklepów. Mają bardziej scentralizowane podejście i centralny podpis, który oczywiście różni się od naszego.
  4. W Aptoide mamy pieczęć „Zaufany”. Jeśli zobaczysz w aplikacji znaczek Zaufany, mamy 99,99% pewności, że aplikacja nie stanowi zagrożenia dla użytkownika końcowego.

Najlepiej,
Paulo Trezentos (Aptoide współzałożyciel)

Komentarze

  • Dziękuję bardzo za Twoje dane, Paulo! Chociaż spodziewałem się tego samego, ' dobrze jest mieć te szczegóły z pierwszej ręki. Czy można coś powiedzieć o tym, które repozytoria są uważane za ” bezpieczniejsze ” / ” main ” (podobnie jak centralny w F-Droid – poza tym IMHO jest jedynym, który używa centralnego podpisu wspomnianej w 3.), którą należy polecić ” ostrożniejszemu użytkownikowi ” – czy też wszyscy są traktowani podobnie? A co z tymi ” czarne rynki ” Aptoide jest tak często powiązane? I czy ” zaufany ” znaczek 4. w jakiś sposób zakodowany w XML, o którym ' wspomniałem (np. automatycznie wykryty przez skrypt)?
  • @all Brakujące dane zostały wysłane do mnie pocztą równolegle z postem Paula ', który został przesłany tutaj. Ich podsumowanie znajdziesz w mojej odpowiedzi na Jakie są alternatywne rynki aplikacji na Androida?
  • Szacunku, przekonałeś mnie
  • Malware is something that we take very seriously Naprawdę? Potencjalny problem zgłosiłem przez ich formularz internetowy i po tydzień nic się nie wydarzyło. Zobacz aptoide-how-to-report-potencjalnie-nadużycie-bez-zostania-członkiem
  • Dziękuję za odpowiedź tutaj. Czy możesz dodatkowo wyjaśnić, dlaczego apki mają inne certyfikaty niż oryginały i dlaczego foldery takie jak ” facebook „, ” airbnb ” lub ” smaato.soma ” są wstrzykiwane do apks, nawet jeśli oryginał nie miał połączenia z tymi aplikacjami? Mowa o ” zaufanych ” aplikacjach, np. WhatsApp.

Odpowiedź

Po odpowiedzi Paulo ” , kilka e-maili z nim, szczegółowy opis już napisałem w mojej odpowiedzi na inne pytanie – a także w artykule na mojej własnej stronie : Rynki Androida: Jak bezpieczne są alternatywne źródła?

Od tamtej pory uważnie obserwowałem Aptoide i nadal – pozwólcie więc, że dodam więcej szczegółów (w tym kilka punktów już wspomnianych dla kontekstu):

  • Aptoide nie jest ” pojedynczy obszar dla aplikacji „, takich jak Google Play lub Amazon App-Store. Jest to raczej porównywalne z tym, co Launchpad jest przeznaczony dla Ubuntu: każdy i jego młodsza siostra mogą tutaj otworzyć swoje własne repozytorium, które jest prezentowane jako ” sklep ” oddzielone od innych. Istnieje jednak „globalne wyszukiwanie (dla aplikacji i sklepów).
  • Jest tylko jedno repozytorium, które jest ” wybierane ręcznie ” od samego Aptoide, o nazwie ” Aplikacje „. Tutaj zespół Aptoide decyduje, które aplikacje są wprowadzane do repozytorium.Tutaj…
    • nie znalazłem ani jednej ” pirackiej płatnej aplikacji „, czy to za pieniądze, czy za darmo
    • sprawdziłem podpisy niektórych aplikacji i znalazłem je pasujące do tych z Google Play dla wszystkich, które sprawdziłem
    • nie pamiętam żadnej aplikacji bez ” zaufany ” znaczek (co oznacza, że tak oznaczona aplikacja została sprawdzona pod kątem złośliwego oprogramowania za pomocą wielu skanerów (w tym własnego bouncer „), zweryfikowano podpisy pod kątem zgodności z tymi z innych rynków (głównie Google Play ) i nie tylko – zobacz moje już wspomniałem inną odpowiedź , aby uzyskać szczegółowe informacje na ten temat)

Tak więc mój wniosek jest taki jest całkiem bezpieczne w użyciu tego repozytorium .

Jednak przyjrzałem się również kilku innym repozytoriom – w których rzeczywiście można znaleźć wiele oczywiście ” pirackie aplikacje ” (płatne aplikacje z GPlay ” za darmo ” są zawsze sygnałem do tego) . W tych miejscach nie tylko często brakowało ” zaufanego ” znaczka, ale zamiast tego często znajdowałem ” niezaufany ” znaczek – co oznacza, że aplikacja była prawdopodobnie zanieczyszczona (szczegóły się różniły; najczęściej wskazywałem na podpis: ” został użyty w innym miejscu do podpisania pakietu innego dewelopera ” na 99% oznacza ” hack „).


Podsumowując: Nie można tu podać ogólnej odpowiedzi (to byłaby odpowiedź na pytanie, czy ” Ziemia ” to bezpieczne miejsce do życia). To, jak bezpieczne jest korzystanie z Aptoide, zależy w dużej mierze od wyboru repozytorium. Jeden jest znany z ręcznej selekcji i, śmiem twierdzić, tak samo bezpieczny jak Google Play , Amazon App Store i inne. Niektóre z nich można założyć jako całkiem bezpieczne – zwłaszcza jeśli znasz ich właścicieli i trzymasz się aplikacji pokazujących ” zaufane ” tarczę .

Unikaj aplikacji, które nie mają przypisanej tarczy (obecnie zielonej) ” zaufanej „, szczególnie trzymaj się z dala od te z tarczą (obecnie żółtą) ” niezaufaną „, najlepiej też trzymać się Repozytorium aplikacji – a Aptoide powinno być dla Ciebie bezpiecznym miejscem.

Uważam, że Apps repozytorium wystarczająco bezpieczne, aby połączyć je z listami moich aplikacji – obok F-Droid i Google Play .

Komentarze

  • Jeśli ” zaufane ” czyli zielone aplikacje są weryfikowane za pomocą podpisu z Google Play, dlaczego lepiej tylko się tego trzymać samo repozytorium aplikacji?
  • @hulkingtickets, bo w ten sposób nie ' nie ryzykujesz, że ” przypadkowo trafisz w żółty jeden „. Wszyscy mamy chwile, w których jesteśmy rozproszeni (lub ” ktoś inny ” używa naszego urządzenia).

Odpowiedź

Aptoide to znana witryna piracka z aplikacjami na Androida. Jeśli uważasz, że jakakolwiek witryna, która świadomie rozpowszechnia pirackie oprogramowanie, jest bezpieczna, jesteś dość optymistyczny.

Komentarze

  • Nie powinieneś pisać czegoś, czego nie możesz cofnąć według źródeł. To, co piszesz, jest jak mówienie ” Windows zawsze ma wirusy „, ” użytkownicy komputerów są hakerzy ” i tym podobne. Czy w ogóle przeczytałeś odpowiedź user64756 ? Istnieją ' repozytorium wyselekcjonowane i ” prywatne repozytoria „. To, co dochodzi do pierwszego, jest kontrolowane przez personel – co niekoniecznie musi być powiedziane w przypadku drugiego.
  • Bzdury. Aptoide jest stroną piracką od samego początku i nadal czerpie zyski z dystrybucji pirackiego oprogramowania. Twierdzenie, że personel nie może być pociągnięty do odpowiedzialności za to, co umożliwia i czerpie z tego korzyści, jest w najlepszym przypadku semantyką.
  • To, co piszesz, jest jak powiedzenie ” Piratebay witryna piracka. „: D
  • Nie ' nie rozśmieszaj mnie. Pierwsza strona aptoide otwarcie promuje pirackie produkty. Idę ” och, ale ten mały róg witryny jest czysty ” …tak, ' już to słyszeliśmy. To samo stare ” oh, ale torrentowane strony zawierają tylko linki do materiału, możemy ' t kontrolować, co jest publikowane „.
  • Wygrałem ', nie kłócąc się z tobą. Przez jakiś czas miałem bliski kontakt z Paulo i ' obserwowałem Aptoide już od około roku. Mają swoje własne repozytorium z prawie 50.000 aplikacji, które jest obecnie czyste – i oferują każdemu otwarcie i utrzymanie własnego repozytorium, w którym nie mogą ręczyć za zawartość. Możesz zgłosić ” ilk „, a zostanie ono usunięte, ale nie ' t ” idź na polowanie „. // Ponieważ złodzieje i mafiosi używają kont bankowych, radzę trzymać się z daleka od banków – ponieważ urzędnicy bankowi sprawdzają również tylko wtedy, gdy powiedzą im o tym (przepraszam, nie można ' się oprzeć;) Nie ' nie wyrzucaj dziecka do wanny;)

Odpowiedz

Niedawno wydałem moją aplikację Westward Dystopia na Androida TYLKO w sklepie Google Play i po kilku dniach znalazłem ją w Aptoide. Kiedy skontaktowałem się z firmą w celu usunięcia treści, powiedzieli mi, że tego nie zrobią, chyba że najpierw zarejestruję się w ich usłudze i otworzę u nich konto.

NIE w ten sposób działa legalna witryna. Nie ufałbym im tak bardzo, jak bym mógł je rzucić. Użytkownicy, strzeżcie się.

Komentarze

  • Dokładne brzmienie otrzymanego e-maila po zgłoszeniu kradzieży moich treści i umieszczeniu ich w witrynie: ” Aby usunąć żądaną aplikację, musimy mieć dokładny adres URL Aptoide, w którym znajduje się aplikacja i nie jest on wystarczający aby wysłać nam ciąg znaków. 1.- Przesyłanie pojedynczego adresu URL Zalecamy następnie wypełnienie zgłoszenia nadużycia, które można znaleźć tutaj: aptoide.com/report/abuse Aby przesłać formularz, zarejestruj się za pomocą adresu e-mail tego samego programisty Google Play ' i nie zapomnij aktywować swojego konta. ”
  • ' wyczyściłem tutaj komentarze. Dziękuję za podzielenie się swoim doświadczeniem, regomar; każdy, kto chciałby z Tobą o tym porozmawiać, powinien zaprosić Cię na Czat dla entuzjastów Androida .

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *