iulie 29, 2020
Articles
Niciun comentariu

Cât de sigur este să folosiți Aptoide?

La fel ca în cazul celei mai recente actualizări a Google Play , acum se vede lista completă a permisiunilor solicitate de o aplicație la instalare / actualizare 1 , simt că intimitatea mea este invadată. Și mai rău, o aplicație s-ar putea strecura în permisiuni suplimentare cu o actualizare și fără ca utilizatorul să știe 2,3 .

Deci, mă uit la alternative.

TL; DR:

Știu că „avem Care sunt piețele alternative ale aplicațiilor Android? , dar a) mai mult sau mai puțin o listă cu alte piețe (fără a oferi fundaluri) 4 și b) „nici măcar nu menționează Aptoide .

Nu” Nu vreau o altă aplicație care să ruleze permanent în fundal pentru a ” verifica valabilitatea licenței „, deci lucruri precum Amazon Appstore sau AndroidPIT sunt în afara. AppBrain este doar un alt front-end pentru Google Play – oricât de frumos este, nu rezolvă problema, deoarece pentru instalările și actualizările aplicațiilor trebuie doar să se redirecționeze către Google Play – pe care „sunt mai degrabă pe cale să ” să fug „.

Am „verificat deja F-Droid acum câteva zile și simt că se potrivește destul cu nevoile mele (urmați linkul pentru detalii) – dar cu aproximativ 1.200 de aplicații (începând cu 6/2014) lasă prea multe goluri.

Aptoide la celălalt capăt se spune că servește peste 120.000 de aplicații în prezent. După cum sugerează și numele, folosește depozite de stil APT , pe care le foloseam de la Linux (Debian și derivate). Vă permite chiar să aveți propriul dvs. depozit privat pentru a partaja aplicații între dispozitive (sau cu prietenii). Toate aplicațiile sunt oferite gratuit, deci nu este nevoie de un server de licențe ” „. Dar cât de sigur este pentru utilizatorul final? Am căutat (și am scăpat) ore în șir, dar nu am putut găsi orice sursă în acest sens. În schimb, am găsit o mulțime de link-uri de tip ” primiți aplicații cu plată gratuite „, ” piață neagră ” și alte lucruri orientate spre piraterie – ceea ce cu siguranță nu este ceea ce urmăresc. Sunt mai mult decât deschis să plătesc pentru aplicații bune 5 , deci ” obținerea lor gratuită ” nu este intenția din spatele întrebării mele. La fel ca F-Droid , Aptoide are mai multe depozite – dar nu mi-am putut da seama dacă există „sa ” de încredere ” depozitul principal, cum ar fi cu F-Droid .

Există informații conexe disponibile în descrierea pachetului (de exemplu, acesta ) indicând măsuri de siguranță precum scanarea malware-ului, validarea semnăturilor și validarea terților. Dar așa cum arată pagina web corespunzătoare , aceste informații par să se bazeze cel puțin parțial pe feedback-ul utilizatorilor (care ar putea fi falsificate / manipulate) sau nici măcar nu sunt prezentate către utilizator (informațiile despre pachet, de exemplu, denumesc 3 scanere utilizate pentru a verifica, nu pot găsi aceste informații pe pagina web). Deși aș putea căuta lucrurile prin intermediul informațiilor despre pachet, nu pot întreba de ex. părinții mei de peste 70 de ani să facă acest lucru. Pe această pagină , Aptoide indică, de asemenea, cum să vadă rezultatele măsurilor lor de securitate și afirmă în mod explicit:

Platforma Aptoide Anti-Malware analizează aplicațiile în timp de execuție și dezactivează potențialele amenințări în toate magazinele.

(Sublinierea mea) – care sugerează o protecție împotriva malware-ului comparabilă cu cea a Google Play (cum merge acest lucru împreună cu acele ” zvonuri despre piața neagră „? Poate că pur și simplu nu „elimină aplicațiile ofensatoare , dar doar marcați-le?).

Deci, în sfârșit

Întrebarea:

Există o modalitate de a utiliza în siguranță Aptoide ca sursă pentru aplicații? Dacă da, cum? 6 Dacă nu, de ce nu?

Puncte bonus pentru o modalitate ” dovadă de idiot ” ar putea fi recomandat utilizatorilor mai puțin experimentați.

Note de subsol

1 Știu că ar fi posibil să deschideți pagina web Magazin Google Play a aplicației, derulați-o și faceți clic pe linkul corespunzător când ați găsit – dar nu puteți apelați-l ușor de utilizat sau așteptați ca utilizatorii să facă acest lucru la fiecare actualizare.
2 de exla prima instalare a solicitat ” nebănuitor ” READ_PHONE_STATE cu justificarea obișnuită. Cu o actualizare, ar putea solicita CALL_PHONE, PROCESS_OUTGOING_CALLS și altele – iar aplicația Play nu va afișa acest lucru, deoarece aparțin ” același grup „.
3 Pentru a calcula ” noi permisiuni „, trebuia să le comparați pe cele din versiunea instalată cu cele ale celei actuale. Distrează-te!
4 Tocmai am editat două răspunsuri și am adăugat câteva detalii pe AppBrain și F-Droid pentru a umple acele lacune
5 Am cumpărat o mulțime de aplicații pe Google Play (sau le-am donat direct dev), și de ex F-Droid are butoane de donație pe pagina fiecărei aplicații pentru a face acest lucru posibil
6 Mi-aș putea imagina că știu (și restricționez utilizarea dvs. la) ” depozite sigure Aptoide ” acest lucru ar putea Dar așa cum am scris, nu puteam să-mi dau seama care dintre ele ar trebui să fie considerate ” sigure „. articolul Aptoide de pe Wikipedia sugerează că „sa ” repo implicit ” la instalare și mai multe repozitii trebuie adăugate manual; deci s-ar putea să rămânem la primul lucru sigur.

Comentarii

  • Cred un magazin de aplicații este la fel de sigur ca încrederea dvs. pentru curatori sau (în cazul unui magazin de aplicații complet deschis) pentru dezvoltatorii care trimit aplicații. IMHO, pentru Aptoide, am pus ‘ în categoria ” la fel de sigură ca și aplicația devs „. Dar ‘ Pentru că nu știu nimic despre interesele curatorilor de aici. Aș spera că, deși tocmai au făcut mai greu să-și dea seama dacă un dezvoltator de aplicație cere mai mult decât a cerut o versiune anterioară, Google are un interes major să nu aibă aplicațiile rău intenționate se răspândesc în ecosistemul lor. Nu sunt sigur de motivele lui Aptoid ‘.
  • Vă mulțumim pentru comentarii! În ceea ce privește Google Play, ‘ nu mă preocupă atât de mult pentru ” aplicații rău intenționate ” în sensul comun (deși mai multe dintre ele trec prin controlul Google ‘ pentru o vreme și din când în când), ci mai degrabă pentru ” colectoare de date ” și altele asemenea (Google fiind unul dintre cei mai mari). Și faptul că nu sunt sigur de Aptoid este motivul pentru care pun această întrebare 🙂 Nu ‘ nu vreau să înlocuiesc o problemă cu alta. Și vreau să știu cu siguranță ce pot recomanda celorlalți.
  • Ah, prostii, am semnalat asta din greșeală, băieți, apolgiile mele! A fost o întrebare Stack Overflow în cealaltă filă. ‘ este indiciul meu pentru a face o pauză!
  • Ați lăsat deoparte un punct important – Aptoide oferă chiar și un proces de actualizare a aplicației care vă anunță modificările permisiunii? Având în vedere scăderea evidentă a securității și siguranței atunci când se utilizează o infrastructură descentralizată și piratată, ar trebui să ofere unele avantaje pe lângă faptul că nu este doar Google. Dacă ‘ vă faceți griji cu privire la colectarea de date ascunse, ‘ vă spun că ‘ re în pericol mai mare atunci când obțineți aplicații de pe un magazin cu aplicații încărcate în bloc și nu de către dezvoltatori (și eventual modificate).
  • @ProjectJourneyman Google Play nu ‘ t dați astfel de indicii la actualizare (dacă se adaugă noi permisiuni la ” același grup „). Cu Aptoide, F-Droid și altele fiind ” piețe terțe „, trebuie întotdeauna să invoce ” instalator de pachete locale „, care vă arată toate permisiunile aplicației care urmează să fie actualizate / instalate înainte de puteți continua instalarea. Deși, din păcate, nu este ” diferență ” de versiunea actuală.

Răspunde

Vă mulțumim că ați ridicat aceste întrebări. Iată câteva informații despre Aptoide pe care sper să le fie utile pentru dvs. și pentru comunitatea Stackexchange / Android:

  1. Malware-ul este un lucru pe care îl luăm foarte în serios.În prezent, avem 3 sisteme diferite de detectare a programelor malware pe măsură ce acestea ajung în orice magazin de aplicații bazat pe Aptoide:
    • rulăm 3 antivirusuri diferite în emulatoare în timp de execuție
    • avem un sistem intern de semnături pentru detectarea amenințărilor recurente
    • am implementat un lanț de încredere bazat pe semnătura dezvoltatorului
  2. Sarcina creării un mediu sigur pentru utilizatorul final este o țintă în mișcare. Lucrăm cu mai multe universități și centre de cercetare și într-un articol recent (nepublicat încă) comparăm bine cu celelalte magazine de aplicații. De asemenea, am propus un proiect european de cercetare cu 2 companii antivirus și 3 universități / centre de cercetare pentru a trata acest subiect. Există o mulțime de muncă de făcut și feedback-ul comunității este important.
  3. F-Droid este de fapt foarte similar cu Aptoide. Sunt o furculiță a Aptoide și păstrează toate conceptele pe care le-am dezvoltat, cum ar fi magazinele multiple. Au o abordare mai centralizată și o semnătură centrală care, desigur, diferă de abordarea noastră.
  4. La Aptoide avem ștampila „de încredere”. Dacă vedeți ștampila de încredere într-o aplicație, suntem 99,99% siguri că aplicația nu conține o amenințare pentru utilizatorul final.

Cel mai bun,
Paulo Trezentos (Aptoide cofondator)

Comentarii

  • Vă mulțumesc foarte mult pentru detalii, Paulo! Deși mă așteptam la fel de mult, ‘ e bine să aveți aceste detalii la prima mână. Există ceva de spus despre care depozite sunt considerate ” mai sigure ” / ” main ” (cum ar fi cel central din F-Droid – care în afară de acesta este IMHO singurul care folosește semnătura centrală menționat la 3.), pentru a fi recomandat ” utilizator mai precaut ” – sau sunt toate amenințate în mod similar? div id = „7fe12f86a5”>

piețele negre ” Aptoide este legat atât de des? Și este ” de încredere ” ștampila de 4. cumva codificată în XML am ‘ am menționat (să fie de ex. auto-detectat de un script)?

  • @all Detaliile lipsă mi-au fost trimise prin poștă, paralel cu postarea lui Paulo ‘ aici. Găsiți-le rezumate în răspunsul meu la Care sunt piețele alternative de aplicații Android?
  • Respect, m-a convins
  • Malware is something that we take very seriously Chiar? Am raportat o problemă potențială prin formularul lor web și după o săptămână nu s-a întâmplat nimic. Consultați aptoide-how-to-report-potential-abuse-without-deven-a-a membru

  • Vă mulțumim că ați răspuns aici. Puteți explica suplimentar de ce APK-urile au certificate diferite de cele originale și de ce dosare precum ” facebook „, ” airbnb ” sau ” smaato.soma ” sunt injectate în apks chiar dacă originalul nu avea nicio conexiune cu aceste aplicații? Vorbesc despre ” de încredere ” aplicații, de ex. WhatsApp.

    • Răspuns

    După răspunsul Paulo , mai multe schimburi de e-mail cu el, am scris deja o descriere detaliată în răspunsul meu la o altă întrebare – și, de asemenea, într-un articol de pe propriul meu site : Android Markets: Cât de sigure sunt sursele alternative?

    După aceea, am urmărit cu atenție Aptoide încă de atunci și încă o fac – așa că permiteți-mi să adaug câteva detalii (inclusiv câteva puncte deja menționate anterior, pentru context):

    • Aptoide nu este un ” zonă unică pentru aplicații ” precum Google Play sau Amazon App-Store. Este destul de comparabil cu ceea ce Launchpad este pentru Ubuntu: toată lumea și sora lui mai mică își pot deschide propriul depozit aici, care este prezentat ca un magazin ” ” separat de celelalte. Totuși, există o căutare globală (pentru aplicații și magazine).
    • Există un singur depozit care este ” selectat manual ” de către Aptoide însuși, numit ” Aplicații „. Aici echipa Aptoide decide ce aplicații intră în depozit.Aici, eu …
      • nu am găsit o singură aplicație cu plată piratată ” „, fie pentru bani, fie pentru drum liber
      • am verificat semnăturile unor aplicații și le-am găsit potrivite cu cele din Google Play pentru tot ce am verificat.
      • nu-mi amintesc nicio aplicație fără ” ștampila ” de încredere (adică aplicația așa marcată a fost verificată pentru a detecta malware cu mai multe scanere (inclusiv propriul bouncer „), semnăturile au fost verificate pentru a se potrivi cu cele ale altor piețe (în principal Google Play ) și multe altele – vedeți deja menționat alt răspuns pentru detalii despre acest aspect)

    Deci concluzia mea este de fapt este destul de sigur să utilizați acest depozit .

    Cu toate acestea, am aruncat și eu o privire asupra câtorva dintre celelalte depozite – unde puteți găsi într-adevăr o mulțime de aplicații piratate ” (aplicațiile plătite de la GPlay ” gratuit ” sunt întotdeauna un semnal pentru asta) . În acele locuri, ștampila ” de încredere ” lipsea adesea – dar în schimb am găsit frecvent ” necredit ” ștampilă – ceea ce înseamnă că aplicația a fost probabil contaminată (detaliile difereau; cel mai adesea am găsit că semnătura este problema: ” a fost folosit în altă parte pentru a semna pachetul alt dezvoltator ” este 99% sigur că indică un ” hack „).

    Rezumat: Un răspuns general nu poate fi dat aici (care ar fi răspunsul la întrebarea dacă ” Pământul ” este un loc sigur pentru a locui). Cât de sigur este să folosiți Aptoide depinde în mare măsură de alegerea depozitului. Se știe că unul este curat manual și, aș îndrăzni să spun, la fel de sigur ca Google Play , Amazon App Store și altele. Câteva pot fi considerate destul de sigure – mai ales dacă știți acest lucru despre proprietarii lor și rămâneți la aplicațiile care afișează scutul ” de încredere ” .

    Evitați aplicațiilor să nu li se atribuie scutul (în prezent verde) ” scutul ” de încredere, mai ales să vă feriți de cei care prezintă scutul (în prezent galben) ” de încredere „, cel mai bine rămâneți și pe Depozitul de aplicații singur – și Aptoide ar trebui să fie un loc sigur pentru dvs.

    Consider Depozitul de aplicații suficient de sigur pentru a-l conecta din listele mele de aplicații – lângă F-Droid și Google Play .

    Comentarii

    • Dacă ” de încredere ” , adică aplicațiile verzi sunt verificate folosind o semnătură de pe Google Play, de ce este mai bine să rămânem doar la singur depozitul de aplicații?
    • @hulkingtickets deoarece astfel nu riscați ‘ să riscați ” să dați accidental un galben unul „. Cu toții avem momentele în care suntem distrasi (sau ” altcineva ” ne folosește dispozitivul).

    Răspuns

    Aptoide este un site de piraterie cunoscut pentru aplicațiile Android. Dacă credeți că orice site care distribuie cu bună știință software piratat este sigur, sunteți destul de optimist.

    Comentarii

    • Nu ar trebui să scrieți ceva pe care nu îl puteți întoarce în funcție de surse. Ceea ce scrieți este ca și cum ați spune ” Windows are întotdeauna viruși „, ” utilizatorii computerului sunt hackeri ” și altele asemenea. Ați citit chiar răspunsul user64756 ? Există ‘ un depozit curat și există ” depozite private „. Ceea ce vine la primul este controlat de personal – ceea ce nu poate fi neapărat spus pentru acesta din urmă.
    • Gunoaiele. Aptoide a fost un site pirat încă de la începuturile sale și continuă să profite de pe urma distribuției de software piratat. Afirmarea că personalul nu poate fi tras la răspundere pentru ceea ce activează și profită este cel mai mult semantică.
    • Ceea ce scrieți este ca și cum ați spune ” Piratebay nu este un site de piraterie. „: D
    • Nu ‘ nu mă face să râd. Prima pagină a aptoide promovează în mod deschis produsele piratate. Merge ” oh, dar acest mic colț al site-ului este curat ” …da, ‘ l-am mai auzit. Același vechi ” oh, dar site-urile torrent sunt conectate doar la material, putem ‘ să controlăm ceea ce este postat „.
    • ‘ nu m-am certat. Am avut un contact strâns cu Paulo pentru o vreme și ‘ am observat-o pe Aptoide de aproximativ un an. Ei au propria repo cu aproape 50.000 de aplicații în prezent, ceea ce este cu siguranță curat – și oferă tuturor să deschidă și să își întrețină propria repo, unde nu pot garanta conținutul. Puteți raporta ” ilk ” și este eliminat – dar nu ‘ ” merg la vânătoare ” ei înșiși. // Întrucât hoții și Mafiosi folosesc conturi bancare, vă recomand să rămâneți la distanță de bănci – de asemenea, grefierii băncii verifică doar dacă vi se spune acest lucru (îmi pare rău, nu s-a putut opune rezistenței;) Nu ‘ nu aruncați copilul afară cu apa de baie;)

    Răspundeți

    Am lansat recent aplicația mea Android Westward Dystopia NUMAI pe magazinul Google Play și în câteva zile am găsit-o oferită pe Aptoide. Când am contactat compania pentru a elimina conținutul, ei mi-au spus că nu vor decât dacă m-am înregistrat mai întâi la serviciul lor și am deschis un cont la ei.

    Acesta NU este modul în care este rulat un site legitim. Nu aș avea încredere în ei în măsura în care aș putea să le arunc. Utilizatorii au grijă.

    Comentarii

    • Aceasta este formularea exactă din e-mailul pe care l-am primit după raportarea furtului conținutului meu și găzduirea acestuia pe site-ul dvs.: ” Pentru a elimina aplicația solicitată, trebuie să avem adresa URL Aptoide exactă în care se află aplicația și nu este suficientă pentru a ne trimite un șir 1.- Trimiterea unui singur URL Vă sugerăm apoi să completați Raportul de abuz pe care îl puteți găsi aici: aptoide.com/report/abuse Pentru a trimite formularul, vă rugăm să vă înregistrați la același e-mail al dezvoltatorului Google Play ‘ și nu uitați să vă activați contul. ”
    • Am ‘ am curățat comentariile de aici. Vă mulțumim pentru relatarea experienței dvs., regomar; oricine dorește să discute cu dvs. ar trebui să vă invite la Chat entuziaști Android .

    Lasă un răspuns

    Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *