Hur säkert är det att använda Aptoide?

Som med den senaste uppdateringen till Google Play ser man nu längre den fullständiga listan över behörigheter som en app begär vid installation / uppdatering 1 , jag känner att min integritet invaderas. Ännu värre, en app kan smyga in ytterligare behörigheter med en uppdatering och utan att användaren vet 2,3 .

Så jag tittar på alternativ.

TL; DR:

Jag vet att vi har Vilka är de alternativa Android-appmarknaderna? , men a) som ”s mer eller mindre en lista över andra marknader (utan att ge bakgrund) 4 , och b) det nämns inte ens Aptoide .

I don ” t vill ha en annan app som måste köras i bakgrunden permanent för att ” kontrollera licensens giltighet ”, så saker som Amazon Appstore eller AndroidPIT är ute. AppBrain är bara en frontend till Google Play – så trevligt som det är, det löser inte problemet, eftersom det för appinstallationer och uppdateringar bara måste omdirigeras till Google Play – som jag snarare vill ” fly ”.

Jag har redan checkat ut F-Droid för några dagar sedan och känner att det passar mina behov (följ länken för detaljer) – men med ungefär 1.200 appar (från och med 6/2014) lämnar det för många luckor.

Aptoide i andra änden sägs mer än 120.000 appar för närvarande. Som namnet antyder använder den APT stilförvar, som jag brukade använda från Linux (Debian och derivat). Det låter dig till och med ha din egen privata repo för att dela appar mellan enheter (eller med vänner). Alla appar erbjuds gratis, så inget behov av en ” licensserver ”. Men hur säkert är det för slutanvändaren? Jag har googlat (och duckat) i timmar, men kunde inte hitta vilken källa som helst om detta. Istället hittade jag många länkar av typen ” får betalda appar gratis ”, ” svart marknad ” och andra piratkopierade saker – vilket definitivt inte är vad jag är ute efter. Jag är mer än öppen för att betala för bra appar 5 , så ” att få dem gratis ” är inte avsikten bakom min fråga. Precis som F-Droid har Aptoide flera arkiv – men jag kunde inte ta reda på om det finns en sa ” pålitlig ” huvudförvar som med F-Droid .

Det finns relaterad information tillgänglig i paketbeskrivningen (t.ex. den här ) som anger säkerhetsåtgärder som genomsökning av skadlig kod, signaturvalidering och tredjepartsvalidering. Men som motsvarande webbsida visar, verkar denna information åtminstone delvis förlita sig på användarfeedback (som kan vara falsk / manipulerad), eller presenteras inte ens till användaren (paketinformationen t.ex. namnger 3 skannrar som används för att kontrollera, jag kan inte hitta denna information på webbsidan). Även om jag kanske kan slå upp saker via paketinformation kan jag inte fråga t.ex. mina 70+ år gamla föräldrar att göra det. På denna sida , Aptoide påpekar också hur man ser resultaten av deras säkerhetsåtgärder och säger uttryckligen:

Aptoide Anti-Malware-plattform analyserar applikationer i körtid och inaktiverar potentiella hot i alla butiker.

(Min betoning) – vilket föreslår ett skydd mot skadlig programvara som är jämförbart med Google Play (hur överensstämmer det med dessa ” rykten om svarta marknaden ”? De kanske inte t tar bort förolämpande appar , men bara markera dem istället?).

Så slutligen

Frågan:

Finns det ett sätt att använda Aptoide som källa för appar på ett säkert sätt? Om ja, hur? 6 Om inte, varför inte?

Bonuspoäng för ett ” idiot bevis ” sätt som kan rekommenderas till mindre erfarna användare.


Fotnoter

1 Jag vet att det vore möjligt att öppna appens webbsida Google Play , bläddra igenom den och klicka på motsvarande länk när den hittades – men du kan inte ring det användarvänligt, eller förvänta dig att användare gör detta vid varje uppdatering.
2 t.ex.vid första installationen begärde den ” intet ont anande ” READ_PHONE_STATE med den vanliga motiveringen. Med en uppdatering kan den begära CALL_PHONE, PROCESS_OUTGOING_CALLS och andra – och Play-appen skulle inte ta upp det, eftersom de tillhör ” samma grupp ”.
3 För att räkna ut ” nya behörigheter ” måste man jämföra dem för installerad version med de nuvarande. Ha kul!
4 Jag har just redigerat två svar och lagt till några detaljer på AppBrain och F-Droid för att fylla dessa luckor
5 Jag har köpt många appar på Google Play (eller donerat till utvecklaren direkt), och t.ex. F-Droid har donationsknappar på varje apps sida för att göra det möjligt
6 Jag kan tänka mig att känna till (och begränsa din användning till) ” säkra Aptoide-arkiv ” detta kan men som jag skrev kunde jag inte räkna ut vilka som ska övervägas ” säkra ”. Aptoide-artikeln på Wikipedia föreslår där ”sa ” standardrepet ” vid installation, och fler repor måste läggas till manuellt, så det kan hålla fast vid att den första är säker.

Kommentarer

  • Jag tror en appbutik är lika säker som ditt förtroende för curatorerna eller (i fallet med en helt öppen appbutik) utvecklarna som skickar in appar. IMHO, för Aptoide, jag ’ d det i ” lika säkert som appen devs ” kategori. Men den ’ s eftersom jag inte vet något om kuratorernas intressen här. Jag hoppas att även om de bara gjorde det svårare att räkna ut om en apputvecklare frågar mer än han / hon var för en tidigare version, har Google ett intresse av att inte ha skadliga appar spridda över deras ekosystem. Inte säker på Aptoid ’ s motiv.
  • Tack för kommentarer! När det gäller Google Play är jag ’ inte så bekymrad över ” skadliga appar ” i sunt förnuft (även om flera av dem går igenom Googles ’ s kontroll en stund då och då), utan snarare för ” datainsamlare ” och liknande (med Google som en av de största). Och att inte vara säker på Aptoid är anledningen till att jag ställer den här frågan 🙂 Jag vill inte ’ ersätta ett problem med ett annat. Och jag vill veta säkert vad jag kan rekommendera andra.
  • Ah skit, jag flaggade detta av misstag killar, mina apologier! Det var en Stack Overflow-fråga i den andra fliken. Att ’ är min ledtråd att ta en paus!
  • Du utelämnade en viktig punkt – erbjuder Aptoide till och med en appuppgraderingsprocess som meddelar dig om ändringar av behörigheter? Med tanke på den uppenbara minskningen av säkerhet och säkerhet när man använder en decentraliserad och piratkopierad infrastruktur, bör det erbjuda vissa fördelar förutom att bara inte vara Google. Om du ’ oroar dig för smygande datainsamling, skulle jag ’ säga att du ’ re i större fara när du hämtar appar från en skyltfönster med appar som laddas upp i bulk och inte av utvecklarna (och eventuellt modifierade).
  • @ProjectJourneyman Google Play ’ t ge sådana tips om uppdatering (om nya behörigheter läggs till i ” samma grupp ”). Med Aptoide, F-Droid och andra ” Tredjepartsmarknader ” måste de alltid anropa ” lokalt paketinstallatör ”, vilket visar dig alla behörigheter för appen som ska uppdateras / installeras före du kan fortsätta med installationen. Men tyvärr inte en ” diff ” till den aktuella versionen.

Svar

Tack för att du tog upp dessa frågor. Här är lite information om Aptoide som jag hoppas är användbar för dig och Stackexchange / Android-communityn:

  1. Skadlig programvara är något vi tar väldigt seriöst.För närvarande har vi tre olika system för att upptäcka skadlig kod när de kommer till vilken Aptoide-driven appbutik som helst:
    • vi kör 3 olika antivirusprogram i emulatorer under körning
    • vi har en internt system med signaturer för att upptäcka återkommande hot
    • vi har implementerat en kedja av förtroende baserad på utvecklarens signatur
  2. Uppgiften att skapa en säker miljö för slutanvändaren är ett rörligt mål. Vi arbetar med flera universitet och forskningscentra och i en ny artikel (ännu inte publicerad) jämför vi bra med de andra appbutikerna. Vi föreslog också ett europeiskt forskningsprojekt med två antivirusföretag och 3 universitet / forskningscentra för att hantera detta ämne. Det finns mycket arbete att göra och återkopplingen från samhället är viktig.
  3. F-Droid är faktiskt mycket lik Aptoide. De är en gaffel av Aptoide och de upprätthåller alla koncept som vi utvecklat, som flera butiker. De har en mer centraliserad inställning och en central signatur som naturligtvis skiljer sig från vår inställning.
  4. På Aptoide har vi ”Trusted” -stämpeln. Om du ser den betrodda stämpeln i en app är vi 99,99% säkra på att appen inte innehåller ett hot mot slutanvändaren.

Bäst,
Paulo Trezentos (Aptoide medgrundare)

Kommentarer

  • Tack så mycket för dina detaljer, Paulo! Även om jag förväntade mig lika mycket, så ’ är bra att ha dessa detaljer från första hand. Finns det något att säga om vilka förvar som anses vara ” säkrare ” / ” huvud ” (som den centrala i F-Droid – som förutom är IMHO den enda som använder den centrala signaturen du nämns i 3.), att rekommenderas till ” mer försiktig användare ” – eller hotas de alla på samma sätt? Vad sägs om de ” svarta marknader ” Aptoide är relaterat till så ofta? Och är ” betrodda ” stämpel av 4. kodad på något sätt i XML I ’ har nämnts (att vara t.ex. upptäcks automatiskt av ett skript)?
  • @all Saknade uppgifter har skickats till mig per post, parallellt med Paulos ’ s inlägg här. Hitta dem sammanfattade i mitt svar till Vilka är de alternativa Android-appmarknaderna?
  • Respekt, övertygade mig
  • Malware is something that we take very seriously Verkligen? Jag rapporterade ett potentiellt problem via deras webbformulär och efter en vecka hände ingenting. Se aptoide-hur-att-rapportera-potentiellt missbruk utan att bli medlem
  • Tack för att du svarar här. Kan du dessutom förklara varför apks har andra certifikat än originalen och varför mappar som ” facebook ”, ” airbnb ” eller ” smaato.soma ” injiceras i apks även om originalet inte hade någon koppling till dessa applikationer? Jag pratar om ” betrodda ” appar, t.ex. WhatsApp.

Svar

Efter Paulos svar , några fler mailutbyten med honom, jag har redan skrivit en detaljerad beskrivning i mitt svar på en annan fråga – och även i en artikel på min egen webbplats : Android-marknader: Hur säkra är alternativa källor?

Därefter följde jag noga Aptoide sedan dess och gör fortfarande – så låt mig lägga till några fler detaljer (inklusive några punkter som redan nämnts tidigare, för sammanhang):

  • Aptoide är inte en ” enskilt område för appar ” som Google Play eller Amazon App-Store. Det är ganska jämförbart med vad Launchpad är för Ubuntu: Alla och hans lillasyster kan öppna sitt eget arkiv här, vilket presenteras som en ” butik ” åtskild från de andra. Det finns dock en global sökning (efter appar och butiker).
  • Det finns bara ett arkiv som är ” manuellt samordnat ” av Aptoide själv, kallad ” Appar ”. Här bestämmer Aptoide-teamet vilka appar som går in i förvaret.Här hittade jag …
    • inte en enda ” piratkopierad app ”, vare sig det är för pengar eller gratis
    • kontrollerade underskrifterna för vissa appar och hittade dem som matchade de från Google Play för allt jag kollade
    • kommer inte ihåg någon app utan ” betrodda ” stämpel (vilket betyder att den så markerade appen har kontrollerats för skadlig programvara med flera skannrar (inklusive Aptoides egna ” bouncer ”), signaturer har verifierats för att matcha de andra marknaderna (mestadels Google Play ) och mer – se min redan nämnde annat svar för detaljer om detta)

Så min slutsats är faktiskt är ganska säkert att använda detta förvar .

Men jag har också tittat på flera av de andra förvaren – där du verkligen kan hitta många uppenbarligen ” piratkopierade appar ” (betalade appar från GPlay ” gratis ” är alltid en signal för det) . På dessa platser saknade inte bara ” betrodda ” stämpeln – utan istället hittade jag ofta ” otillförlitlig ” stämpel – vilket innebär att appen förmodligen var kontaminerad (detaljerna skilde sig, oftast tyckte jag att signaturen var problemet: ” det användes någon annanstans för att signera en annan utvecklare paket ” är 99% säker på att det anger ett ” hacka ”).


Sammanfattat: Ett allmänt svar kan inte ges här (det skulle svara på frågan om ” jorden ” är en säker plats att bo på). Hur säkert det är att använda Aptoide ganska mycket beror på ditt val av förvar. En är känd för att manuellt kurateras och, vågar jag säga, lika säker som Google Play , Amazon App Store och andra. Några få kan antas vara ganska säkra – speciellt om du vet om deras ägare och håller dig till appar som visar ” betrodda ” .

Undvik att appar inte tilldelas (för närvarande grönt) ” betrodda ” -sköld, särskilt håll dig långt borta de som visar (för närvarande gult) ” otillförlitligt ” sköld, bäst även hålla sig till Appar förvar ensam – och Aptoide borde vara en säker plats för dig.

Jag anser att Appar förvar tillräckligt säkert för att länka det från mina applistor – bredvid F-Droid och Google Play .

Kommentarer

  • Om ” betrodda ” , dvs gröna appar verifieras med en signatur från Google Play, varför är det bättre att bara hålla sig till enbart Apps-arkivet?
  • @hulkingtickets eftersom du inte ’ t riskerar att ” råkar slå en gul en ”. Vi har alla våra ögonblick där vi distraheras (eller ” någon annan ” använder vår enhet).

Svar

Aptoide är en känd piratsida för Android-appar. Om du tycker att någon webbplats som medvetet distribuerar piratkopierad programvara är säker är du ganska optimistisk.

Kommentarer

  • Du ska inte skriva något du inte kan backa upp av källor. Vad du skriver är som att säga ” Windows har alltid virus ”, ” datoranvändare är hackare ” och liknande. Har du till och med läst svaret från user64756 ? Det finns ’ ett kurerat arkiv och det finns ” privata arkiv ”. Det som kommer till det första styrs av personalen – vilket inte nödvändigtvis kan sägas för den senare.
  • Skräp. Aptoide har varit en piratsida sedan starten, och fortsätter att dra nytta av distributionen av piratkopierad programvara. Påståendet att personalen inte kan hållas ansvarig för det de möjliggör och drar nytta av är i bästa fall semantik.
  • Det du skriver är som att säga ” Piratebay är inte en piratkopieringssida. ”: D
  • Låt mig inte skratta. ’ Aptoides främsta sida främjar piratkopierade produkter. Går till ” åh, men det här lilla hörnet på webbplatsen är rent ” …ja, vi ’ har hört den tidigare. Samma gamla ” åh, men vi torrentwebbplatser länkar bara till materialet, vi kan ’ t styr vad som läggs upp ”.
  • Jag vann ’ t argumenterar med dig. Jag hade nära kontakt med Paulo ett tag och jag ’ har observerat Aptoide i ungefär ett år nu. De har sin egen repo med nästan 50.000 appar för närvarande, vilket definitivt är rent – och erbjuder alla att öppna och underhålla sin egen repo, där de inte kan garantera innehållet. Du kan rapportera ” lik ”, och det tas bort – men de gör inte ’ t ” själva jagar ”. // Eftersom tjuvar och Mafiosi använder bankkonton, rekommenderar jag att du också håller dig borta från banker – eftersom bankansvariga också bara kontrollerar om du får veta det (förlåt, kunde inte ’ inte motstå;) Släng inte ’ t babyen ut med badvattnet;)

Svar

Jag släppte nyligen min Android-app Westward Dystopia ENDAST i Google Play-butiken och hittade inom några dagar den på Aptoide. När jag kontaktade företaget för att få bort innehållet sa de att de inte skulle göra det om jag inte registrerade mig för deras tjänst först och öppnade ett konto hos dem.

Detta är INTE det sätt som en legitim webbplats drivs på. Jag skulle inte lita på dem så långt jag kunde kasta dem. Användare se upp.

Kommentarer

  • Detta är den exakta formuleringen i e-postmeddelandet jag fick efter att ha rapporterat om stölden av mitt innehåll och värd för det på din webbplats: ” För att ta bort den begärda applikationen måste vi ha den exakta Aptoide URL där applikationen står och det räcker inte att skicka en sträng till oss 1. – Skicka en enda URL Vi föreslår sedan att du fyller i missbruksrapporten som du hittar här: aptoide.com/report/abuse För att skicka formuläret, registrera dig hos samma Google Play-utvecklare ’ e-post och glöm inte att aktivera ditt konto. ”
  • Jag ’ har rensat kommentarerna här. Tack för att du berättar om din upplevelse, regomar. Alla som vill diskutera det med dig bör bjuda in dig till Android-entusiastchatt .

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *