julio 29, 2020
Articles
No hay comentarios

¿Qué tan seguro es usar Aptoide?

Al igual que con la última actualización de Google Play , ahora ya se ve la lista completa de permisos solicitados por una aplicación en la instalación / actualización 1 , siento que mi privacidad está invadida. Peor aún, una aplicación podría colarse en permisos adicionales con una actualización, y sin que el usuario sepa 2,3 .

Así que estoy buscando alternativas.

TL; DR:

Sé que «tenemos ¿Cuáles son los mercados alternativos de aplicaciones de Android? , pero a) eso» s más o menos una lista de otros mercados (sin dar antecedentes) 4 , yb) ni siquiera menciona Aptoide .

No » No quiero otra aplicación que deba ejecutarse en segundo plano de forma permanente para » verificar la validez de la licencia «, así que cosas como Amazon Appstore o AndroidPIT están disponibles. AppBrain es solo otra interfaz de Google Play ; tan agradable como es, no resuelve el problema, ya que para las instalaciones y actualizaciones de aplicaciones solo tiene que redirigir a Google Play – que estoy a punto de » huir «.

Ya revisé F-Droid hace unos días, y creo que se ajusta bastante a mis necesidades (seguir el enlace para obtener más detalles), pero con aproximadamente 1.200 aplicaciones (a partir del 6/2014) deja demasiados huecos.

Aptoide en el otro extremo se dice que sirve más de 120.000 aplicaciones actualmente. Como sugiere el nombre, utiliza repositorios de estilo APT , a los que estoy acostumbrado desde Linux (Debian y derivados). Incluso te permite tener tu propio repositorio privado para compartir aplicaciones entre dispositivos (o con amigos). Todas las aplicaciones se ofrecen de forma gratuita, por lo que no es necesario un » servidor de licencias «. Pero ¿qué tan seguro es para el usuario final? He «buscado en Google (y agachado) durante horas, pero no pude encontrar cualquier fuente sobre esto. En su lugar, encontré muchos enlaces del tipo » obtener aplicaciones pagas gratis «, » mercado negro » y otras cosas relacionadas con la piratería, que definitivamente no es lo que busco. Estoy más que dispuesto a pagar por buenas aplicaciones 5 , entonces » obtenerlos gratis » no es la intención detrás de mi pregunta. Al igual que F-Droid , Aptoide tiene varios repositorios, pero no pude averiguar si hay una » confiable » repositorio principal como con F-Droid .

Hay información relacionada disponible en la descripción del paquete (por ejemplo, este ) que indica medidas de seguridad como escaneo de malware, validación de firmas y validación de terceros. Pero como muestra la página web correspondiente , esta información parece depender, al menos en parte, de los comentarios de los usuarios (que podrían ser falsificados / manipulados), o ni siquiera se presenta al usuario (la información del paquete, por ejemplo, los nombres de los 3 escáneres que se usaron para verificar, no puedo encontrar esta información en la página web). Si bien es posible que pueda buscar cosas a través de la información del paquete, no puedo preguntar, por ejemplo, mis padres de más de 70 años para hacerlo. En esta página , Aptoide también señala cómo ver los resultados de sus medidas de seguridad y declara explícitamente:

La plataforma de Aptoide Anti-Malware analiza las aplicaciones en tiempo de ejecución y deshabilita las amenazas potenciales en todas las tiendas.

(El énfasis es mío), lo que sugiere una protección contra malware comparable a la de Google Play (cómo ¿Eso va de la mano con esos » rumores del mercado negro «? Tal vez simplemente no eliminan las aplicaciones ofensivas , pero solo marcarlos en su lugar?).

Así que finalmente

La pregunta:

¿Hay alguna manera de utilizar Aptoide de forma segura como fuente de aplicaciones? Si es así, ¿cómo? 6 Si no es así, ¿por qué no?

Puntos de bonificación por una forma » a prueba de idiotas » que podría recomendarse a usuarios menos experimentados.

Notas al pie

1 Sé que sería posible abrir la página web Google Play Store de la aplicación, desplazarse por ella y hacer clic en el enlace correspondiente cuando lo encuentre, pero no puede llámelo fácil de usar, o espere que los usuarios hagan esto en cada actualización.
2 por ejemploen la primera instalación, solicitó el » desprevenido » READ_PHONE_STATE con la justificación habitual. Con una actualización, podría solicitar CALL_PHONE, PROCESS_OUTGOING_CALLS y otros, y la aplicación Play no mostraría eso, ya que pertenecen a el » mismo grupo «.
3 Para calcular » nuevos permisos «, había que comparar los de los versión instalada con las del actual. ¡Diviértete!
4 Acabo de editar dos respuestas y agregar algunos detalles en AppBrain y F-Droid para llenar esos vacíos
5 He comprado muchas aplicaciones en Google Play (o he donado a el desarrollador directamente), y por ejemplo F-Droid tiene botones de donación en la página de cada aplicación para que esto sea posible
6 Podría imaginarme sabiendo (y restringiendo su uso a) » repositorios seguros de Aptoide » esto podría Pero como escribí, no pude entender cuáles considerar » seguras «. El artículo de Aptoide en Wikipedia sugiere que hay «un » repositorio predeterminado » en la instalación, y se deben agregar más repositorios manualmente; por lo que es posible que el primero sea seguro.

Comentarios

  • Creo una tienda de aplicaciones es tan segura como su confianza para los curadores o (en el caso de una tienda de aplicaciones completamente abierta) los desarrolladores que envían aplicaciones. En mi humilde opinión, para Aptoide, ‘ puse en la » tan segura como la categoría » de desarrolladores de aplicaciones. Pero eso ‘ s porque no sé nada sobre los intereses de los curadores aquí. Espero que, aunque solo hicieron que sea más difícil averiguar si un desarrollador de aplicaciones está pidiendo más de lo que estaba pidiendo por una versión anterior, Google tiene un gran interés en no tener aplicaciones malintencionadas repartidas por su ecosistema. No estoy seguro de los motivos de Aptoid ‘.
  • Gracias por comentarios! En cuanto a Google Play, ‘ no me preocupan mucho las » aplicaciones maliciosas » en el sentido común (aunque varios de ellos se escapan del control de Google ‘ durante un tiempo también de vez en cuando), sino más bien para » recopiladores de datos » y similares (siendo Google uno de los más grandes). Y no estar seguro acerca de Aptoid es la razón por la que hago esta pregunta 🙂 No ‘ no quiero reemplazar un problema con otro. Y quiero saber con certeza qué puedo recomendar a otros.
  • Ah, mierda, marqué esto por error chicos, ¡mis disculpas! Era una pregunta de Stack Overflow en la otra pestaña. ¡Esa ‘ es mi señal para tomar un descanso!
  • Dejó de lado un punto importante: ¿Aptoide ofrece incluso un proceso de actualización de la aplicación que le notifica los cambios de permisos? Dada la obvia disminución de la seguridad y la protección cuando se usa una infraestructura descentralizada y plagada de piratería, debería ofrecer algunos beneficios además de no ser Google. Si ‘ te preocupa la recopilación de datos furtiva, ‘ diría que ‘ re en mayor peligro cuando se obtienen aplicaciones de un escaparate con aplicaciones cargadas en masa y no por los desarrolladores (y posiblemente modificadas).
  • @ProjectJourneyman Google Play no ‘ t dar sugerencias sobre la actualización (si se agregan nuevos permisos a » el mismo grupo «). Dado que Aptoide, F-Droid y otros son » mercados de terceros «, siempre deben invocar el » instalador de paquetes local «, que muestra todos permisos de la aplicación que se va a actualizar / instalar antes de puede proceder a la instalación. Aunque, desafortunadamente, no es un » diff » a la versión actual.

Responder

Gracias por plantear estas preguntas. Aquí hay información sobre Aptoide que espero sea útil para usted y la comunidad de Stackexchange / Android:

  1. El malware es algo que nos tomamos muy en serio.Actualmente, tenemos 3 sistemas diferentes para detectar malware a medida que llega a cualquier tienda de aplicaciones impulsada por Aptoide:
    • ejecutamos 3 antivirus diferentes en emuladores en tiempo de ejecución
    • tenemos un sistema interno de firmas para detectar amenazas recurrentes
    • hemos implementado una cadena de confianza basada en la firma del desarrollador
  2. La tarea de crear un entorno seguro para el usuario final es un objetivo en movimiento. Estamos trabajando con varias universidades y centros de investigación y en un artículo reciente (aún no publicado) comparamos bien con las otras tiendas de aplicaciones. También propusimos un proyecto de investigación europeo con 2 empresas antivirus y 3 universidades / centros de investigación para tratar este tema. Hay mucho trabajo por hacer y los comentarios de la comunidad son importantes.
  3. F-Droid es de hecho muy similar a Aptoide. Son un fork de Aptoide y mantienen todos los conceptos que desarrollamos, como múltiples tiendas. Tienen un enfoque más centralizado y una firma central que, por supuesto, es diferente a nuestro enfoque.
  4. En Aptoide tenemos el sello «Trusted». Si ve el sello Trusted en una aplicación, estamos 99,99% seguros de que la aplicación no contiene una amenaza para el usuario final.

Lo mejor,
Paulo Trezentos (Aptoide cofundador)

Comentarios

  • ¡Muchas gracias por tus detalles, Paulo! Aunque esperaba tanto, ‘ Es bueno tener estos detalles de primera mano. ¿Hay algo que decir sobre qué repositorios se consideran » más seguros » / » main » (como el central en F-Droid, que además es en mi humilde opinión el único que usa la firma central que mencionado en 3.), que se recomendará al » usuario más cauteloso «, ¿o son todos amenazados de manera similar? ¿Qué pasa con los » mercados negros » ¿con los que Aptoide se relaciona con tanta frecuencia? ¿Y el » » sello de 4. de alguna manera codificado en el XML que ‘ he mencionado (por ejemplo, detectado automáticamente por un script)?
  • @todos los detalles que faltan me han sido enviados por correo, en paralelo a la publicación de Paulo ‘ aquí. Encuéntrelos resumidos en mi respuesta a ¿Cuáles son los mercados alternativos de aplicaciones de Android?
  • Respeto, me convenció
  • Malware is something that we take very seriously ¿En serio? Informé un problema potencial a través de su formulario web y luego a la semana no pasó nada. Consulte aptoide-cómo-informar-abuso-potencial-sin-convertirse-en-miembro
  • Gracias por responder aquí. ¿Puede explicar además por qué las apks tienen certificados diferentes a los originales y por qué carpetas como » facebook «, » airbnb » o » smaato.soma » se inyectan en el apks incluso si el original no tenía conexión con estas aplicaciones? Estoy hablando de aplicaciones » confiables «, p. Ej. WhatsApp.

Responder

Después de la respuesta de Paulo , algunos intercambios de correo más con él, ya escribí una descripción detallada en mi respuesta a otra pregunta , y también en un artículo en mi propio sitio. : Mercados de Android: ¿Qué tan seguras son las fuentes alternativas?

Después de eso, seguí de cerca Aptoide desde entonces, y todavía lo hago – Permítanme agregar algunos detalles más (incluidos algunos puntos ya mencionados antes, para el contexto):

  • Aptoide no es un » área única para aplicaciones » como Google Play o Amazon App-Store. Es bastante comparable a lo que Launchpad es para Ubuntu: todos y su hermana pequeña pueden abrir su propio repositorio aquí, que se presenta como una » tienda » separados de los demás. Sin embargo, existe una búsqueda global (de aplicaciones y tiendas).
  • Solo hay un repositorio que es » seleccionado manualmente » por el propio Aptoide, llamado » Aplicaciones «. Aquí, el equipo de Aptoide decide qué aplicaciones están ingresando al repositorio.Aquí…
    • no encontré una sola » aplicación de pago pirateada «, ya sea por dinero o gratis
    • verifiqué las firmas de algunas aplicaciones y las encontré coincidentes con las de Google Play para todo lo que verifiqué
    • no recuerdo ninguna aplicación sin el » confiable » sello (es decir, la aplicación así marcada ha sido verificada en busca de malware con varios escáneres (incluido el propio bouncer «), se verificaron las firmas para que coincidan con las de otros mercados (principalmente Google Play ) y más. Consulte mi mencionado otra respuesta para obtener detalles sobre esto)

Entonces, mi conclusión es, de hecho, es bastante seguro usar este repositorio .

Sin embargo, también he echado un vistazo a varios de los otros repositorios, donde de hecho puedes encontrar muchos » aplicaciones pirateadas » (las aplicaciones de pago de GPlay » gratuitas » siempre son una señal de ello) . En esos lugares, no solo faltaba con frecuencia el sello de » confiable «, sino que también encontré con frecuencia el » untrusted » sello, lo que significa que la aplicación probablemente estaba contaminada (los detalles diferían; la mayoría de las veces encontré que la firma era el problema: » se usó en otro lugar para firmar otros desarrolladores el paquete » es 99% seguro de indicar un » hack «).

Resumido: No se puede dar una respuesta general aquí (eso sería responder a la pregunta de si » la Tierra » es un lugar seguro para vivir). La seguridad de usar Aptoide depende en gran medida de su elección del repositorio. Se sabe que uno se selecciona manualmente y, me atrevo a decir, es tan seguro como Google Play , Amazon App Store y otros. Se puede suponer que algunas son bastante seguras, especialmente si conoce a sus propietarios y se adhiere a las aplicaciones que muestran el escudo » confiable » .

Evite las aplicaciones a las que no se les haya asignado el escudo (actualmente verde) » confiable «, especialmente manténgase alejado aquellos que muestran el escudo (actualmente amarillo) » no confiable «, lo mejor es que se adhieran también al Apps repositorio solo, y Aptoide deberían ser un lugar seguro para ti.

Considero el Repositorio de aplicaciones lo suficientemente seguro como para vincularlo desde mis listas de aplicaciones , junto a F-Droid y Google Play .

Comentarios

  • Si » confiaba en » , es decir, las aplicaciones ecológicas se verifican con una firma de Google Play, ¿por qué es mejor ceñirse solo a ¿El repositorio de aplicaciones solo?
  • @hulkingtickets porque de esa manera no ‘ no se arriesga a » golpear accidentalmente un amarillo uno «. Todos tenemos momentos en los que estamos distraídos (o » alguien más » está usando nuestro dispositivo).

Respuesta

Aptoide es un conocido sitio de piratería para aplicaciones de Android. Si cree que cualquier sitio que distribuye software pirateado a sabiendas es seguro, está siendo bastante optimista.

Comentarios

  • No debe escribir algo que no pueda respaldar por fuentes. Lo que escribe es como decir » Windows siempre tiene virus «, » los usuarios de computadoras son hackers «, y similares. ¿Has leído la respuesta de user64756 ? Hay ‘ s un repositorio seleccionado, y hay » repositorios privados «. Lo que viene al primero lo controla el personal, lo que no necesariamente puede decirse del segundo.
  • Basura. Aptoide ha sido un sitio pirata desde sus inicios y continúa beneficiándose de la distribución de software pirateado. Afirmar que el personal no se hace responsable de lo que habilita y de lo que se beneficia, es semántica en el mejor de los casos.
  • Lo que escribe es como decir » Piratebay no es un sitio de piratería. «: D
  • No ‘ me hagas reír. La portada de aptoide promueve abiertamente productos pirateados. Vamos a » oh, pero este pequeño rincón del sitio está limpio » …sí, ‘ hemos escuchado eso antes. El mismo » de siempre, pero nosotros los sitios de torrents solo enlazan al material, podemos ‘ t controlar lo que se publica «.
  • No pude ‘ discutir contigo. Tuve un contacto cercano con Paulo durante un tiempo, y ‘ he observado Aptoide durante aproximadamente un año. Tienen su propio repositorio con casi 50.000 aplicaciones en la actualidad, que definitivamente está limpio, y ofrecen a todos abrir y mantener su propio repositorio, donde no pueden responder por el contenido. Puede denunciar » ilk » y se elimina, pero no ‘ t » cazar » ellos mismos. // Dado que los ladrones y los mafiosos usan cuentas bancarias, le recomiendo que se mantenga alejado de los bancos, ya que los empleados bancarios también solo verifican si se les dice (lo siento, no pude ‘ resistir;) No ‘ t arrojes al bebé con el agua de la bañera;)

Responder

Recientemente lancé mi aplicación de Android Westward Dystopia SOLAMENTE en Google Play Store y en unos días descubrí que se ofrecía en Aptoide. Cuando me comuniqué con la compañía para eliminar el contenido, me dijeron que no lo harían a menos que primero me registrara en su servicio y abriera una cuenta con ellos.

Esta NO es la forma en que se ejecuta un sitio legítimo. No confiaría en ellos en la medida de lo posible. Los usuarios deben tener cuidado.

Comentarios

  • Esta es la redacción exacta del correo electrónico que recibí. después de denunciar el robo de mi contenido y alojarlo en su sitio: » Para eliminar la aplicación solicitada, necesitamos tener la URL exacta de Aptoide donde se encuentra la aplicación y no es suficiente para enviarnos una cadena 1.- Envío de una única URL Le sugerimos que complete el Informe de abuso que puede encontrar aquí: aptoide.com/report/abuse Para enviar el formulario, regístrese con el mismo correo electrónico del desarrollador de Google Play ‘ y no olvide activar su cuenta. »
  • Yo ‘ he limpiado los comentarios aquí. Gracias por relatar tu experiencia, regomar; cualquiera que desee discutirlo contigo debería invitarte a Chat para entusiastas de Android .

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *