Julho 29, 2020
Articles
Sem comentários

É seguro usar o Aptoide?

Tal como acontece com a última atualização do Google Play , agora se vê mais a lista completa de permissões solicitadas por um aplicativo na instalação / atualização 1 , sinto minha privacidade invadida. Pior ainda, um aplicativo pode obter permissões adicionais com uma atualização e sem que o usuário saiba 2,3 .

Portanto, estou procurando alternativas.

TL; DR:

Eu sei que temos Quais são os mercados de aplicativos Android alternativos? , mas a) que “s mais ou menos uma lista de outros mercados (sem fornecer históricos) 4 eb) nem mesmo mencionando Aptoide .

Eu não não quero outro aplicativo que precise ser executado em segundo plano permanentemente para ” verificar a validade da licença “, então coisas como Amazon Appstore ou AndroidPIT acabaram. AppBrain é apenas mais um front-end para o Google Play – por mais bom que seja, não resolve o problema, pois para instalações e atualizações de aplicativos, basta redirecionar para o Google Play – que estou prestes a ” fugir “.

Eu já verifiquei o F-Droid alguns dias atrás e sinto que ele se encaixa perfeitamente às minhas necessidades (siga o link para detalhes) – mas com cerca de 1.200 aplicativos (em 6/2014), ele deixa muitas lacunas.

Aptoide na outra extremidade é dito para servir mais de 120.000 aplicativos atualmente. Como o nome sugere, ele usa repositórios de estilo APT , que estou acostumado a usar no Linux (Debian e derivados). Ele até permite que você tenha seu próprio repositório privado para compartilhar aplicativos entre dispositivos (ou com amigos). Todos os aplicativos são oferecidos gratuitamente, portanto, não há necessidade de um ” servidor de licença “. Mas quão seguro é para o usuário final? Eu pesquisei (e desviei) por horas, mas não consegui encontrar qualquer fonte sobre isso. Em vez disso, encontrei muitos links do tipo ” obter aplicativos pagos gratuitamente “, ” mercado negro ” e outras coisas voltadas para a pirataria – o que definitivamente não é o que eu procuro. Estou mais do que disposto a pagar por bons aplicativos 5 , então ” obtê-los gratuitamente ” não é a intenção por trás da minha pergunta. Como o F-Droid , o Aptoide tem vários repositórios – mas não consegui descobrir se havia “sa ” confiável ” repositório principal como o F-Droid .

Há informações relacionadas disponíveis na descrição do pacote (por exemplo, este ) indicando medidas de segurança, como verificação de malware, validação de assinatura e validação de terceiros. Mas, como mostra a página da web correspondente , essas informações parecem depender, pelo menos em parte, do feedback do usuário (que pode ser falsificado / manipulado) ou nem mesmo é apresentado para o usuário (as informações do pacote, por exemplo, nomes de 3 scanners usados para verificar, não consigo encontrar essas informações na página da web). Embora eu possa pesquisar as coisas nas informações do pacote, não posso perguntar, por exemplo, meus pais de mais de 70 anos para fazer isso. Em nesta página , Aptoide também mostra como ver os resultados de suas medidas de segurança e afirma explicitamente:

A plataforma Aptoide Anti-Malware analisa aplicativos em tempo de execução e desativa ameaças potenciais em todas as lojas.

(Grifo meu) – o que sugere uma proteção contra malware comparável à do Google Play (como isso vai junto com aqueles ” rumores do mercado negro “? Talvez eles simplesmente não remova aplicativos ofensivos , mas apenas marcá-los em vez disso?).

Então, finalmente

A pergunta:

Existe uma maneira de usar o Aptoide com segurança como fonte para aplicativos? Se sim, como? 6 Se não, por que não?

Pontos de bônus por uma ” prova idiota ” maneira que pode ser recomendado para usuários menos experientes.

Notas de rodapé

1 Eu sei que seria possível abrir a página da web da Google Play Store do aplicativo, rolar por ela e clicar no link correspondente quando encontrado – mas você não pode chame-o de amigável ou espere que os usuários façam isso a cada atualização.
2 por exemplona primeira instalação, ele solicitou o ” desavisado ” READ_PHONE_STATE com a justificativa usual. Com uma atualização, ele poderia solicitar CALL_PHONE, PROCESS_OUTGOING_CALLS e outros – e o aplicativo Play não abriria isso, pois eles pertencem a o ” mesmo grupo “.
3 Para descobrir ” novas permissões “, era necessário comparar as do versão instalada com as da atual. Divirta-se!
4 Acabei de editar duas respostas e adicionar alguns detalhes no AppBrain e F-Droid para preencher essas lacunas
5 Comprei muitos aplicativos no Google Play (ou doei para o dev diretamente) e, por exemplo, F-Droid tem botões de doação na página de cada aplicativo para tornar isso possível
6 Eu poderia imaginar sabendo (e restringindo seu uso a) ” repositórios Aptoide seguros ” isso poderia ser alcançados. Mas, conforme escrevi, não consegui descobrir quais considerar ” seguro “. O artigo do Aptoide na Wikipedia sugere que há “sa ” repo padrão ” na instalação, e mais repositórios precisam ser adicionados manualmente; portanto, pode ser seguro manter o primeiro.

Comentários

  • Eu acho uma loja de aplicativos é tão segura quanto sua confiança para os curadores ou (no caso de uma loja de aplicativos totalmente aberta) para os desenvolvedores que enviam aplicativos. IMHO, para Aptoide, eu ‘ d coloque na ” tão seguro quanto a categoria de ” dos devs de aplicativos. Mas essa ‘ s porque não sei nada sobre os interesses dos curadores aqui. Espero que, embora eles apenas tornem mais difícil descobrir se um desenvolvedor de aplicativo está pedindo mais do que ele estava pedindo uma versão anterior, o Google tem interesse em não ter aplicativos maliciosos se espalham por seu ecossistema. Não tenho certeza sobre os motivos do ‘ s do Aptoid.
  • Obrigado pelos comentários! Quanto ao Google Play, eu ‘ não estou muito preocupado com ” aplicativos maliciosos ” no senso comum (embora vários deles escapem do controle ‘ do Google por um tempo de vez em quando também), mas em vez de ” coletores de dados ” e semelhantes (sendo o Google um dos maiores). E não ter certeza sobre o Aptoid é a razão de eu fazer esta pergunta 🙂 Eu não ‘ não quero substituir um problema por outro. E eu quero saber com certeza o que posso recomendar aos outros.
  • Ah merda, eu sinalizei isso por engano pessoal, minhas desculpas! Era uma pergunta do Stack Overflow na outra guia. Essa ‘ é minha deixa para fazer uma pausa!
  • Você omitiu um ponto importante – o Aptoide oferece um processo de atualização de aplicativo que o notifica sobre alterações de permissão? Dada a óbvia diminuição da segurança e proteção ao usar uma infraestrutura descentralizada e repleta de pirataria, ele deve oferecer alguns benefícios além de simplesmente não ser o Google. Se você ‘ está preocupado com a coleta furtiva de dados, eu ‘ diria que você ‘ está corre mais perigo ao obter aplicativos de uma loja com aplicativos carregados em massa e não pelos desenvolvedores (e possivelmente modificados).
  • @ProjectJourneyman O Google Play não ‘ t dê dicas sobre a atualização (se novas permissões forem adicionadas ao ” mesmo grupo “). Com Aptoide, F-Droid e outros sendo ” mercados de terceiros “, eles sempre têm que invocar o ” instalador de pacote local “, que mostra todas as permissões do aplicativo a ser atualizado / instalado antes de você pode prosseguir com a instalação. Embora, infelizmente, não seja uma ” diff ” da versão atual.

Resposta

Obrigado por levantar essas questões. Aqui estão algumas informações sobre o Aptoide que, espero, sejam úteis para você e para a comunidade Stackexchange / Android:

  1. Malware é algo que levamos muito a sério.Atualmente, temos 3 sistemas diferentes para detectar malware conforme eles chegam em qualquer loja de aplicativos com tecnologia Aptoide:
    • nós executamos 3 antivírus diferentes em emuladores em tempo de execução
    • temos um sistema interno de assinaturas para detectar ameaças recorrentes
    • implementamos uma cadeia de confiança baseada na assinatura do desenvolvedor
  2. A tarefa de criar um ambiente seguro para o usuário final é um alvo móvel. Estamos trabalhando com várias universidades e centros de pesquisa e em um artigo recente (ainda não publicado) nos comparamos bem com as outras lojas de aplicativos. Também propusemos um projeto de pesquisa europeu com 2 empresas de antivírus e 3 universidades / centros de pesquisa para tratar deste tema. Há muito trabalho a ser feito e o feedback da comunidade é importante.
  3. F-Droid é na verdade muito semelhante ao Aptoide. São um fork da Aptoide e mantêm todos os conceitos que desenvolvemos, como várias lojas. Eles têm uma abordagem mais centralizada e uma assinatura central que é obviamente diferente da nossa abordagem.
  4. Na Aptoide, temos o selo “confiável”. Se você vir o selo Trusted em um aplicativo, temos 99,99% de certeza de que o aplicativo não contém uma ameaça para o usuário final.

Atenciosamente,
Paulo Trezentos (Aptoide co-fundador)

Comentários

  • Muito obrigado por seus detalhes, Paulo! Embora eu já esperasse por isso, ‘ É bom ter esses detalhes em primeira mão. Há algo a ser dito sobre quais repositórios são considerados ” mais seguros ” / ” main ” (como o central no F-Droid – que além disso é IMHO o único usando a assinatura central você mencionado em 3.), a ser recomendado para o ” usuário mais cauteloso ” – ou todos eles são ameaçados da mesma forma? E aqueles ” mercados negros ” Aptoide é relacionado com tanta frequência? E o ” confiável ” carimbo de 4. de alguma forma codificado no XML que ‘ mencionei (para ser, por exemplo, detectado automaticamente por um script)?
  • @all Detalhes ausentes foram enviados para mim por e-mail, paralelamente à postagem de Paulo ‘ aqui. Encontre-os resumidos em minha resposta a Quais são os mercados de aplicativos Android alternativos?
  • Respeito, me convenceu
  • Malware is something that we take very seriously Sério? Eu relatei um possível problema por meio do formulário da web e depois uma semana nada aconteceu. Consulte aptoide-como-relatar-abuso-potencial-sem-se-tornar-um-membro
  • Obrigado por responder aqui. Você também pode explicar por que os apks têm certificados diferentes dos originais e por que pastas como ” facebook “, ” airbnb ” ou ” smaato.soma ” são injetados no apks mesmo se o original não tivesse conexão com esses aplicativos? Estou falando de aplicativos ” confiáveis “, por exemplo, WhatsApp.

Resposta

Após a resposta de Paulo ” , mais algumas trocas de e-mail com ele, já escrevi uma descrição detalhada em minha resposta a outra pergunta – e também em um artigo em meu próprio site : Android Markets: quão seguras são as fontes alternativas?

Depois disso, acompanhei de perto o Aptoide desde então, e ainda faço – então deixe-me adicionar mais alguns detalhes (incluindo alguns pontos já mencionados antes, para contexto):

  • Aptoide não é um ” área única para aplicativos ” como o Google Play ou a Amazon App-Store. É bastante comparável ao que Launchpad é para Ubuntu: todos e sua irmã mais nova podem abrir seu próprio repositório aqui, que é apresentado como uma ” loja ” separados dos outros. No entanto, há uma pesquisa global (para aplicativos e lojas).
  • Há apenas um repositório que é ” curado manualmente ” pelo próprio Aptoide, denominado ” Aplicativos “. Aqui, a equipe do Aptoide decide quais aplicativos estão entrando no repositório.Aqui eu…
    • não encontrei um único ” aplicativo pirateado pago “, seja por dinheiro ou de graça
    • verifiquei as assinaturas de alguns aplicativos e descobri que correspondiam às do Google Play em tudo que verifiquei
    • não lembro de nenhum aplicativo sem o ” confiável ” carimbo (ou seja, o aplicativo assim marcado foi verificado quanto a malware com vários scanners (incluindo o próprio bouncer “), as assinaturas foram verificadas para corresponder às de outros mercados (principalmente no Google Play ) e muito mais – veja o meu já mencionou outra resposta para obter detalhes sobre isso)

Portanto, minha conclusão é, na verdade, é muito seguro usar este repositório .

No entanto, também dei uma olhada em vários dos outros repositórios – onde você pode encontrar muitos tipos de ” aplicativos piratas ” (aplicativos pagos do GPlay ” gratuitamente ” são sempre um sinal disso) . Nesses lugares, não apenas o selo ” confiável ” faltava com frequência – mas, em vez disso, frequentemente encontrava o ” não confiável ” carimbo – o que significa que o aplicativo provavelmente estava contaminado (os detalhes eram diferentes; na maioria das vezes eu descobri que o problema era a assinatura: ” foi usado em outro lugar para assinar outro pacote de desenvolvedores ” tem 99% de certeza de indicar um ” hackear “).

Resumido: Uma resposta geral não pode ser dada aqui (isso seria responder à pergunta se ” a Terra ” é um lugar seguro para se viver). O quão seguro é usar o Aptoide depende muito da escolha do repositório. Um é conhecido por ter curadoria manual e, ouso dizer, tão seguro quanto o Google Play , Amazon App Store e outros. Alguns podem ser considerados bastante seguros – especialmente se você souber sobre seus proprietários e se limitar a aplicativos que mostrem o escudo ” confiável ” .

Evite que aplicativos não sejam atribuídos ao escudo ” confiável ” (atualmente verde), especialmente fique bem longe de aqueles que mostram o escudo ” não confiável ” (atualmente amarelo), melhor também manter o Repositório de aplicativos sozinho – e o Aptoide deve ser um lugar seguro para você.

Eu considero o Apps repositório seguro o suficiente para vinculá-lo a minhas listas de aplicativos – próximo a F-Droid e Google Play .

Comentários

  • Se ” confiável ” , ou seja, aplicativos verdes são verificados usando uma assinatura do Google Play, por que é melhor apenas manter o repositório do Apps sozinho?
  • @hulkingtickets porque assim você não ‘ corre o risco de ” acidentalmente acertar um amarelo um “. Todos nós temos nossos momentos em que estamos distraídos (ou ” outra pessoa ” está usando nosso dispositivo).

Resposta

Aptoide é um conhecido site de pirataria de aplicativos Android. Se você acha que qualquer site que conscientemente distribui software pirata é seguro, você está sendo bastante otimista.

Comentários

  • Você não deve escrever algo que não possa responder por fontes. O que você escreve é como dizer ” Windows sempre tem vírus “, ” usuários de computador são hackers ” e semelhantes. Você já leu a resposta de user64756 ? Há ‘ s um repositório com curadoria e há ” repositórios privados “. O que vem com o primeiro é controlado pela equipe – o que não pode necessariamente dizer sobre o último.
  • Lixo. O Aptoide é um site pirata desde o início e continua lucrando com a distribuição de software pirata. Afirmar que a equipe não pode ser responsabilizada por aquilo que possibilitam e lucram é semântica na melhor das hipóteses.
  • O que você escreve é como dizer ” Piratebay não um site de pirataria. “: D
  • Não ‘ não me faça rir. A primeira página do aptoide promove abertamente produtos piratas. Indo ” ah, mas este cantinho do site está limpo ” …sim, ‘ já ouvimos isso antes. O mesmo ” antigo, mas nós sites de torrent apenas vinculam o material, não podemos ‘ controlar o que é postado “.
  • Não vou ‘ discutir com você. Tive contato próximo com Paulo por um tempo, e ‘ observo Aptoide há cerca de um ano. Eles têm seu próprio repo com quase 50.000 aplicativos atualmente, o que definitivamente é limpo – e oferecem a todos para abrir e manter seu próprio repo, onde eles não podem garantir o conteúdo. Você pode denunciar ” ilk ” e é removido – mas não ‘ t ” vá caçar ” eles próprios. // Como ladrões e mafiosos usam contas bancárias, recomendo que você fique longe de bancos também – os bancários também só verificam se forem informados (desculpe, não poderia ‘ resistir;) Não ‘ t jogue o bebê fora com a água do banho;)

Resposta

Recentemente, lancei meu aplicativo para Android Westward Dystopia SOMENTE na Google Play Store e, em poucos dias, descobri que ele estava sendo oferecido no Aptoide. Quando entrei em contato com a empresa para remover o conteúdo, eles me disseram que não o fariam, a menos que eu me registrasse para o serviço e abrisse uma conta com eles.

Esta NÃO é a maneira como um site legítimo é executado. Eu não confiaria neles tanto quanto poderia descartá-los. Usuários, cuidado.

Comentários

  • Este é o texto exato do e-mail que recebi depois de relatar o roubo do meu conteúdo e a hospedagem dele em seu site: ” Para remover o aplicativo solicitado, precisamos ter o URL exato do Aptoide onde o aplicativo está e não é suficiente para nos enviar uma string. 1.- Enviando um único URL Sugerimos que você preencha o Relatório de abuso que pode encontrar aqui: aptoide.com/report/abuse Para enviar o formulário, registre-se com o mesmo e-mail do desenvolvedor do Google Play ‘ e não se esqueça de ativar sua conta. ”
  • Eu ‘ limpei os comentários aqui. Obrigado por relatar sua experiência, regomar; qualquer pessoa que deseje discuti-la com você deve convidá-lo para Bate-papo dos entusiastas do Android .

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *