Насколько безопасно использовать Aptoide?

34

Как и в случае с последним обновлением в Google Play, теперь больше не отображается полный список разрешений, запрашиваемых приложением при установке / обновлении 1 , я чувствую, что моя конфиденциальность нарушена. Хуже того, приложение может получить дополнительные разрешения при обновлении, и пользователь не узнает 2,3 .

Поэтому я ищу альтернативы.

TL; DR:

Я знаю, что у нас есть Какие альтернативные рынки приложений для Android? , но а) это более или менее список других рынков (без предоставления сведений ) 4 , и б) в нем даже не упоминается Aptoide .

Я не хочу, чтобы другое приложение постоянно работало в фоновом режиме, чтобы «проверить действительность лицензии», поэтому такие вещи, как Amazon Appstore или Google+ , отсутствуют. AppBrain - это просто еще один интерфейс Google Play - настолько приятный, что он не решает проблему, поскольку для установки и обновления приложений ему просто нужно перенаправить его в Google Play - что я, скорее всего, собираюсь » бежать».

Я уже проверил F-Droid несколько дней назад и чувствую, что он вполне соответствует моим потребностям (перейдите по ссылке для получения подробной информации) - но только с 1.200 приложений (по состоянию на 6/2014) он оставляет слишком много пробелов.

С другой стороны, Aptoide обслуживает более 120 000 приложений . Как следует из названия, он используетрепозитории в стиле APT , к которым я привык из Linux (Debian и производные). Это даже позволяет вам иметь свой собственный репо для обмена приложениями между устройствами (или с друзьями). Все приложения предлагаются бесплатно, поэтому нет необходимости в «сервере лицензий». Но насколько это безопасно для конечного пользователя? Я гуглил (и нырнул) часами, но не смог найти никакого источника по этому поводу. Вместо этого я нашел много ссылок типа «платные приложения бесплатно», «черный рынок» и другие вещи, ориентированные на пиратство, что, безусловно, не то, что мне нужно. Я более чем готов платить за хорошие приложения 5 , так что «получаю их бесплатно» это не намерение, стоящее за моим вопросом. подобноF-Droid , Aptoide имеет несколько репозиториев - но я не мог понять, есть ли « надежный » основной репозиторий, как с F-Droid .

В описании пакета есть соответствующая информация (например, эта ), в которой указаны меры безопасности, такие как сканирование на наличие вредоносных программ, проверка подписи и проверка третьей стороной. Но, как показывает соответствующая веб-страница , эта информация, по-видимому, частично зависит от отзывов пользователей (которые могут быть сфальсифицированы / манипулированы) или даже не представлена ​​пользователю (информация о пакете, например имена 3 сканеров, которые использовались для проверки, я не могу найти эту информацию на веб-странице). Несмотря на то, что я мог бы искать вещи через информацию о пакете, я не могу, например, попросить моих родителей старше 70 лет сделать это. На этой странице , Aptoide также указует на то , как увидеть результаты своих мер безопасности, а также четко говорится:

Платформа Aptoide Anti-Malware анализирует приложения во время выполнения и отключает потенциальные угрозы во всех магазинах.

(Акцент мой) - который предлагает защиту от вредоносного ПО, сравнимую с защитой Google Play (как это сочетается с этими «слухами о черном рынке»? Может быть, они просто не удаляют вредоносные приложения, а только отмечают их?).

Итак, наконец

Вопрос:

Есть ли способ безопасно использовать Aptoide в качестве источника для приложений? Если да, то как? 6 Если нет, то почему?

Бонусные баллы за «идиотский» способ, который можно рекомендовать менее опытным пользователям.


Сноски

1 Я знаю, что было бы возможно открытьвеб-страницу приложения Google Play Store , прокрутить ее и щелкнуть соответствующую ссылку, когда она будет найдена, но вы не можете назвать это удобным для пользователя или ожидать, что пользователи будут делать это при каждом обновлении.
2 Например, при первой установке он запросил «ничего не подозревающий»READ_PHONE_STATEс обычным обоснованием. С обновлением, он может запроситьCALL_PHONE,PROCESS_OUTGOING_CALLSи другие - и приложение Play не принесетчто до,как они принадлежат к «же группе».
3 Чтобы определить «новые разрешения», нужно было сравнить права доступа установленной версии с правами текущей версии. Повеселись!
4 Я только что отредактировал два ответа и добавил некоторые подробности о AppBrain и F-Droidчтобы заполнить эти пробелы
5 Я купил много приложений в Google Play (или пожертвовал непосредственно разработчику), и, например, F-Droid имеет кнопки пожертвования на странице каждого приложения, чтобы сделать это возможным
6 Я мог представить, зная (и ограничивая ваше использование) "безопасных хранилищ Aptoide" это может быть достигнуто. Но, как я уже писал, я не мог понять, какие из них следует считать «безопасными». В статье Aptoide в Википедии говорится, что при установке установлено «репо по умолчанию», и необходимо добавить дополнительные репо вручную; так что, может быть, придерживаться того, что первое безопасно.

Иззи
источник
Я думаю, что магазин приложений так же безопасен, как и ваше доверие к кураторам или (в случае полностью открытого магазина приложений) разработчикам, которые представляют приложения. ИМХО, для Aptoide я бы поместил его в категорию "так же безопасно, как для разработчиков приложений". Но это потому, что я ничего не знаю об интересах кураторов здесь. Я надеюсь, что, хотя им просто стало сложнее выяснить, запрашивает ли разработчик приложений больше, чем он / она для предыдущей версии, Google заинтересован в том, чтобы вредоносные приложения не распространялись по их экосистеме. Не уверен в мотивах Аптоида.
ctt
Спасибо за комментарии! Что касается Google Play, меня не так сильно волнуют «вредоносные приложения» в здравом смысле (хотя некоторые из них время от времени проскакивают под контролем Google), а скорее «сборщики данных» и как (с Google, являющимся одним из самых больших). И неуверенность в Aptoid - причина, по которой я задаю этот вопрос :) Я не хочу заменять проблему другой. И я хочу знать наверняка, что я могу рекомендовать другим.
Иззи
Ах, дерьмо, я пометил это по ошибке, ребята, мои извинения! Это был вопрос переполнения стека на другой вкладке. Это моя подсказка сделать перерыв!
RossC
Вы упустили важный момент - предлагает ли Aptoide процесс обновления приложения, который уведомляет вас об изменениях разрешений? Учитывая очевидное снижение уровня безопасности при использовании децентрализованной и пиратской инфраструктуры, она должна предложить некоторые преимущества, помимо того, что она не является Google. Если вы беспокоитесь о скрытом сборе данных, я бы сказал, что вы находитесь в большей опасности, когда получаете приложения из витрины магазина с приложениями, загруженными навалом, а не разработчиками (и, возможно, модифицированными).
ProjectJourneyman
1
@ProjectJourneyman Google Play не дает таких советов по обновлению (если новые разрешения добавляются в «ту же группу»). Поскольку Aptoide, F-Droid и другие являются «сторонними рынками», они всегда должны вызывать «локальный установщик пакетов», который показывает вам все разрешения для обновляемого / устанавливаемого приложения, прежде чем вы сможете приступить к установке. , Хотя, к сожалению, это не «разница» в текущей версии.
Иззи

Ответы:

20

Спасибо, что подняли эти вопросы. Вот некоторая информация об Aptoide, которая, я надеюсь, будет полезна для вас и сообщества Stackexchange / Android:

  1. Вредоносные программы - это то, к чему мы относимся очень серьезно. В настоящее время у нас есть 3 различные системы для обнаружения вредоносных программ по мере их поступления в любой магазин приложений на базе Aptoide:
    • мы запускаем 3 разных антивируса в эмуляторах во время выполнения
    • у нас есть собственная система подписей для обнаружения повторяющихся угроз
    • мы внедрили цепочку доверия, основанную на подписи разработчика
  2. Задача создания безопасной среды для конечного пользователя - это движущаяся цель. Мы работаем с несколькими университетами и исследовательскими центрами, и в недавней статье (еще не опубликованной) мы хорошо сравниваем с другими магазинами приложений. Мы также предложили европейский исследовательский проект с 2 антивирусными компаниями и 3 университетами / исследовательскими центрами для решения этой темы. Предстоит проделать большую работу, и обратная связь от сообщества важна.
  3. F-Droid на самом деле очень похож на Aptoide. Они являются вилкой Aptoide и поддерживают все концепции, которые мы разработали, например, несколько магазинов. У них более централизованный подход и центральная подпись, которая, конечно, отличается от нашего подхода.
  4. В Aptoide у нас есть марка "Trusted". Если вы видите марку «Доверенные» в приложении, мы на 99,99% уверены, что приложение не содержит угрозы для конечного пользователя.

Бест,
Пауло Трезентос (соучредитель Aptoide)

user64756
источник
Большое спасибо за ваши данные, Пауло! Несмотря на то, что я ожидал этого, хорошо, что эти данные есть из первых рук. Можно ли что-то сказать о том, какие репозитории считаются «более безопасными» / «основными» (как, например, центральный в F-Droid - который, кроме того, ИМХО является единственным, использующим центральную подпись, упомянутую в 3), которую следует рекомендовать «более осторожный пользователь» - или они все угрожают одинаково? А как насчет тех «черных рынков», с которыми Aptoide связан так часто? И является ли «доверенный» штамп 4. каким-то образом закодированным в упомянутом мною XML (например, для автоматического определения скриптом)?
Иззи
@ Все недостающие подробности были отправлены мне по почте, параллельно с сообщением Пауло здесь. Найдите их в моем ответе на вопрос: « Каковы альтернативные рынки Android-приложений?
Иззи
Уважай, убедил меня
10
1
Malware is something that we take very seriously В самом деле? Я сообщил о потенциальной проблеме через их веб-форму, и через неделю ничего не произошло. См. Aptoide-how-to-сообщать о потенциальном злоупотреблении, не становясь участником
k3b
9

После ответа Пауло , еще нескольких обменов почтой с ним, я уже написал подробное описание в своем ответе на другой вопрос - а также в статье на моем собственном сайте: Рынки Android: Насколько безопасны альтернативные источники?

После этого я пристально следил за Aptoide с тех пор и продолжаю делать - поэтому позвольте мне добавить еще несколько деталей (включая некоторые пункты, уже упомянутые ранее, для контекста):

  • Aptoide - это не «отдельная область для приложений», таких как Google Play или Amazon App-Store. Это довольно сравнимо с тем, что Launchpad для Ubuntu: каждый и его младшая сестра могут открыть здесь свой собственный репозиторий, который представлен как «магазин», отделенный от других. Хотя есть глобальный поиск (для приложений и магазинов).
  • Существует только один репозиторий, который «вручную курирует» сам Aptoide, который называется « Приложения ». Здесь команда Aptoide решает, какие приложения входят в репозиторий. Здесь я …
    • не нашел ни одного «пиратского платного приложения», будь то за деньги или бесплатно
    • проверил подпись некоторых приложений и нашел их соответствие те из Google Play для всех я проверил
    • не помню ни одного приложения без «доверенного» штампа (это означает, что помеченное приложение было проверено на наличие вредоносных программ с несколькими сканерами (включая собственный «вышибал» Aptoide)), подписи были проверены на соответствие сигнатурам других рынков (в основном Google Play) ) и многое другое - подробности см. в моем уже упомянутом другом ответе )

Таким образом, мой вывод на самом деле довольно безопасно использовать этот репозиторий .

Однако я также взглянул на несколько других репозиториев, где вы действительно можете найти множество явно «пиратских приложений» (платные приложения от GPlay «бесплатно» всегда являются сигналом для этого). В этих местах не только часто пропускался «доверенный» штамп, но вместо этого я часто обнаруживал «недоверенный» штамп - это означает, что приложение, вероятно, было заражено (детали отличались; чаще всего я обнаружил, что проблема заключается в подписи: «это был использован в другом месте, чтобы подписать другой пакет разработчика "на 99% обязательно указать" взломать ").


Подводя итог: здесь нельзя дать общий ответ (это будет ответ на вопрос, является ли «Земля» безопасным местом для жизни). Насколько безопасно использовать Aptoide, во многом зависит от вашего выбора хранилища. Как известно, один из них курируется вручную и, я бы сказал, так же безопасен, как Google Play , Amazon App Store и другие. Некоторые из них можно считать довольно безопасными, особенно если вы знаете об их владельцах и придерживаетесь приложений, показывающих «доверенный» щит.

Избегайте приложений, которым не назначен (в настоящее время зеленый) «доверенный» щит, особенно держитесь подальше от тех, кто показывает (в настоящее время желтый) «ненадежный» щит, лучше также придерживайтесь только хранилища приложений - и Aptoide должен быть безопасным местом для вас ,

Я считаю хранилище приложений достаточно безопасным, чтобы связать его из списков моих приложений - рядом с F-Droid и Google Play.

Иззи
источник
Если «доверенные», то есть «зеленые» приложения проверяются с помощью подписи из Google Play, почему лучше придерживаться только одного хранилища приложений?
hulkingtickets
@hulkingtickets, потому что таким образом вы не рискуете «случайно попасть в желтый». У всех нас есть моменты, когда мы отвлекаемся (или «кто-то еще» использует наше устройство).
Иззи
4

Aptoide - это известный пиратский сайт для приложений Android. Если вы думаете, что любой сайт, который сознательно распространяет пиратское программное обеспечение, является безопасным, вы настроены довольно оптимистично.

Майкл А.
источник
1
Вы не должны писать что-то, что вы не можете сделать из источников. То, что вы пишете, это как сказать: «В Windows всегда есть вирусы», «пользователи компьютеров - хакеры» и тому подобное. Вы когда- нибудь читали ответ пользователя 64756 ? Там есть курируемый репозиторий, и есть «частные репозитории». То, что приходит к первому, контролируется персоналом, чего нельзя сказать о последнем.
Иззи
3
Мусор. Aptoide является пиратским сайтом с момента его создания и продолжает получать прибыль от распространения пиратского программного обеспечения. Утверждение о том, что сотрудники не могут нести ответственность за то, что они обеспечивают и получают прибыль, в лучшем случае является семантикой.
Майкл А.
2
То, что вы пишете, похоже на высказывание «Piratebay - это не пиратский сайт». : D
Майкл А.
2
Не смеши меня. На главной странице aptoide открыто рекламируется пиратская продукция. Идем "о, но этот маленький уголок сайта чистый" ... да, мы слышали это раньше. То же самое "о, но мы торрент-сайты только ссылаемся на материал, мы не можем контролировать то, что публикуется".
Майкл А.
2
Я не буду спорить с вами. Некоторое время у меня был тесный контакт с Пауло, и я наблюдаю за Аптоидой около года. В настоящее время у них есть собственное репо с почти 50 000 приложений, которое, безусловно, является чистым, и предлагает всем открыть и поддерживать свое собственное репо, где они не могут поручиться за контент. Вы можете сообщить о «подобном», и оно будет удалено, но они не «охотятся» сами. // Поскольку воры и мафиози пользуются банковскими счетами, я рекомендую вам также держаться подальше от банков - клерки также проверяют только то, что им говорят (извините, не смог устоять;) Не выбрасывайте ребенка с водой; )
Иззи
3

Недавно я выпустил свое Android-приложение Westward Dystopia ТОЛЬКО в магазине Google Play и через несколько дней обнаружил, что оно предлагается на Aptoide. Когда я связался с компанией, чтобы удалить контент, они сказали мне, что не будут, если я сначала не зарегистрировался для их обслуживания и не открыл счет с ними.

Это НЕ тот способ, которым работает законный сайт. Я бы не стал доверять им настолько, насколько мог их бросить. Пользователи остерегаются.

regomar
источник
Это точная формулировка в электронном письме, которое я получил после сообщения о краже моего контента и размещении его на вашем сайте: «Чтобы удалить запрошенное приложение, нам нужен точный URL-адрес Aptoide, на котором оно находится, и этого недостаточно для отправьте нам строку: 1.- Отправка одного URL. Затем мы предлагаем вам заполнить отчет о злоупотреблении, который можно найти здесь: aptoide.com/report/abuse Чтобы отправить форму, пожалуйста, зарегистрируйтесь у того же разработчика Google Play. по электронной почте и не забудьте активировать свою учетную запись. "
Регомар
Я убрал комментарии здесь. Спасибо, что поделились своим опытом, regomar; Любой желающий обсудить это с вами должен пригласить вас в чат для энтузиастов Android .
Мэтью Читал