Наскільки безпечно використовувати Aptoide?

34

Як і в останньому оновлення Google Play, тепер більше не бачимо повного списку дозволів, які вимагає додаток для встановлення / оновлення 1 , я відчуваю, що моя конфіденційність порушена. Ще гірше, що додаток може оновлюватись додатковими дозволами з оновленням, і без того, щоб користувач знав 2,3 .

Тому я дивлюся на альтернативи.

TL; DR:

Я знаю, що у нас є альтернативні ринки додатків для Android? , але а) це більш-менш перелік інших ринків (не надаючи фонів) 4 , і б) це навіть не згадування про Aptoide .

Я не хочу, щоб інша програма, яка повинна постійно працювати у фоновому режимі, щоб "перевірити дійсність ліцензії", тому такі речі, як Amazon Appstore або AndroidPIT , вимкнуті . AppBrain - це лише ще один передумови для Google Play - настільки приємно, як це є, це не вирішує проблему, оскільки для встановлення та оновлень додатків його просто потрібно перенаправити на Google Play - про що я швидше збираюся " тікати ».

Я вже перевірив F-Droid кілька днів тому, і вважаю, що він цілком відповідає моїм потребам (перейдіть за посиланням для деталей) - але з приблизно 1.200 додатками (станом на 6/2014) він залишає занадто багато прогалин.

Кажуть, що Aptoide з іншого боку обслуговує понад 120 000 додатків . Як випливає з назви, він використовуєсховища стилів APT , до яких я звик з Linux (Debian та похідні). Це навіть дозволяє мати власне приватне репо для обміну додатками між пристроями (або з друзями). Всі додатки пропонуються безкоштовно, тому не потрібно «ліцензійного сервера». Але наскільки це безпечно для кінцевого споживача? Я годинами гукав (і гнувся), але не міг знайти жодного джерела про це. Натомість я знайшов чимало посилань типу "отримувати платні програми безкоштовно", "чорний ринок" та інших продуктів, орієнтованих на піратство, - що, безумовно, не те, що я хочу шукати. Я більше ніж відкритий, щоб платити за хороші програми 5 , тому "отримую їх безкоштовно" не є наміром мого питання. Подібно доF-Droid , Aptoide має декілька сховищ - але я не міг зрозуміти, чи є основне сховище, здатне довіряти, як у F-Droid .

В описі упаковки є відповідна інформація (наприклад, ця ) із зазначенням заходів безпеки, таких як сканування зловмисного програмного забезпечення, перевірка підпису та перевірка сторонніх сторін. Але як показує відповідна веб-сторінка , ця інформація, здається, принаймні частково покладається на відгуки користувачів (які можуть бути підробленими / маніпульованими), або навіть не надається користувачеві (інформація про пакет, наприклад, називає 3 сканери, що використовуються для перевірки, я не вдається знайти цю інформацію на веб-сторінці). Незважаючи на те, що я можу розібратися з допомогою інформації про пакет, я не можу просити, наприклад, своїх батьків, старших 70 років, зробити це. На цій сторінці , Aptoide також указует на те , як побачити результати своїх заходів безпеки, а також чітко говориться:

Платформа Aptoide Anti-Malware аналізує програми під час роботи та відключає потенційні загрози у всіх магазинах.

(Моє наголос) - що пропонує захист від зловмисного програмного забезпечення, порівнянну із захистом Google Play (як це поєднується з тими "чутками про чорний ринок"? Можливо, вони просто не видаляють програми, що ображають, а лише позначають їх замість?).

Так нарешті

Питання:

Чи є спосіб безпечно використовувати Aptoide як джерело для додатків? Якщо так, то як? 6 Якщо ні, то чому б ні?

Бонусні бали за спосіб "бездоганний", який можна рекомендувати менш досвідченим користувачам.

Виноски

1 Я знаю, що можливо відкритивеб-сторінку магазину Google Play у магазині , прокрутити її та натиснути відповідне посилання, коли знайдеться - але ви не можете зателефонувати до цього користувача чи очікувати, що користувачі це робитимуть під час кожного оновлення.
2, наприклад, при першій установці він вимагав "нічого не підозрюючого"READ_PHONE_STATEзі звичайним виправданням. З оновленням, він може запроситиCALL_PHONE,PROCESS_OUTGOING_CALLSі інші - і додаток Play не принесещо до,як вони належать до «ж групи».
3 Щоб зрозуміти "нові дозволи", треба було порівняти версії встановленої версії з версією цієї. Веселіться!
4 Я щойно відредагував дві відповіді та додав детальну інформацію про AppBrain та F-Droidщоб заповнити ці прогалини
5 Я купив багато додатків в Google Play (або подарував безпосередньо розробнику), і, наприклад, F-Droid має кнопки пожертвування на сторінці кожного додатка, щоб зробити це можливим.
6 Я міг собі уявити, знаючи (і обмежуючи) ваше використання для "безпечних сховищ Aptoide" цього можна досягти. Але, як я писав, я не міг зрозуміти, які з них вважати "безпечними". Стаття Aptoide у Вікіпедії пропонує встановити "репо за замовчуванням" при встановленні, і більше репостів потрібно додати вручну; тож можливо дотримуватися того, що перший є безпечним.

alternative-markets 
Ізи
джерело
Я думаю, що магазин додатків так само безпечний, як і ваша довіра кураторам або (у випадку повністю відкритого магазину додатків) розробникам, які подають програми. IMHO, для Aptoide я би ставлю його до категорії «так само безпечно, як і розробки додатків». Але це тому, що я нічого не знаю про інтереси кураторів тут. Я би сподівався, що, хоча вони просто ускладнюють розібратися, чи розробник додатків запитує більше, ніж він / він був для попередньої версії, Google зацікавлений у тому, щоб зловмисні програми не поширювалися по їх екосистемі. Не впевнений у мотивах Аптоїда.
ctt
Дякуємо за коментарі! Що стосується Google Play, то я не так сильно переймаюся "шкідливими програмами" у здоровому розумінні (хоча декілька з них прослуховують час від часу управління Google), а скоріше за "збирачів даних" та наприклад (Google є однією з найбільших). І не будучи впевненим у Aptoid - це причина, що я задаю це питання :) Я не хочу замінювати проблему іншою. І я хочу точно знати, що я можу порекомендувати іншим.
Іззі
Ну лайно, я позначив це помилково, хлопці, мої аполігії! Це було питання про переповнення стека на іншій вкладці. Ось моя кия зробити перерву!
RossC
Ви залишили важливий момент - чи Aptoide навіть пропонує процес оновлення програми, який повідомляє про зміни дозволу? Враховуючи очевидне зниження рівня безпеки та безпеки при використанні децентралізованої та піратської інфраструктури, вона повинна пропонувати певні переваги, окрім того, що це не Google. Якщо ви турбуєтесь про прихований збір даних, я б сказав, що вам загрожує більша небезпека, коли ви отримуватимуть програми з магазину з додатками, завантаженими масово, а не розробниками (і можливо, модифікованими).
ProjectJourneyman
1
@ProjectJourneyman Google Play не дає таких підказок щодо оновлення (якщо нові дозволи додаються до "тієї ж групи"). Оскільки Aptoide, F-Droid та інші є "сторонніми ринками", вони завжди повинні викликати "локальний інсталятор пакета", який показує вам усі дозволи доступу до оновлення / встановлення додатка, перш ніж ви зможете продовжити установку. . Хоча, на жаль, не є "відмінною" від поточної версії.
Іззі

Відповіді:

20

Дякую, що ви поставили ці питання. Ось деяка інформація про Aptoide, яка, я сподіваюся, корисна для вас та спільноти Stackexchange / Android:

  1. Зловмисне програмне забезпечення - це те, що ми сприймаємо дуже серйозно. В даний час у нас є 3 різні системи для виявлення шкідливих програм, коли вони надходять у будь-який магазин додатків Aptoide:
    • ми виконуємо 3 різних антивірусних емуляторів в емуляторах
    • у нас є внутрішня система підписів для виявлення повторюваних загроз
    • ми реалізували ланцюжок довіри, що базується на підписі розробника
  2. Завдання створення безпечного середовища для кінцевого користувача - це рухома мета. Ми працюємо з кількома університетами та науково-дослідними центрами, і в останній статті (ще не опублікованій) ми добре порівнюємо їх з іншими магазинами додатків. Ми також запропонували європейський дослідницький проект з 2 антивірусними компаніями та 3 університетами / науково-дослідними центрами для вирішення цієї теми. Потрібно зробити багато роботи і важливий відгук громади.
  3. F-Droid насправді дуже схожий на Aptoide. Вони є вилкою Aptoide, і вони підтримують всі розроблені нами концепції, як і кілька магазинів. Вони мають більш централізований підхід і центральний підпис, який, звичайно, відрізняється від нашого підходу.
  4. В Aptoide у нас є штамп "Довірені". Якщо ви бачите довірений штамп у програмі, ми на 99,99% впевнені, що додаток не містить загрози для кінцевого користувача.

Найкраще,
Пауло Трецентос (співзасновник Aptoide)

user64756
джерело
Дуже дякую за ваші деталі, Пауло! Хоча я очікував стільки ж, добре мати ці деталі з перших рук. Чи можна сказати щось про те, які сховища вважаються "безпечнішими" / "основними" (як центральний у F-Droid - який, крім того, є ІМХО єдиним із центральним підписом, про який ви згадали у 3.), щоб його рекомендували "обережніший користувач" - чи всі вони піддаються подібному? Що з тими "чорними ринками", з якими Aptoide пов'язаний так часто? І чи "довірений" штамп 4. якось закодований у XML, про який я згадав (щоб бути, наприклад, автоматичним виявленням сценарію)?
Izzy
@ всі пропущені деталі мені надіслали поштою, паралельно до посту Пауло тут. Знайти їх підсумовано у моїй відповіді на те, які альтернативні ринки додатків для Android?
Izzy
Повага, переконав мене
l0Ft
1
Malware is something that we take very seriously Дійсно? Я повідомив про потенційну проблему через їх веб-форму, і через тиждень нічого не сталося. Дивіться підпис про те, як повідомити про потенційне зловживання, не ставши членом
k3b
9

Після відповіді Паулу , ще трохи обміну поштою з ним я вже написав детальний опис у своїй відповіді на інше питання - а також у статті на моєму власному сайті: Android Markets: Наскільки безпечні альтернативні джерела?

Після цього я пильно стежив за Aptoide з тих пір, і досі це роблю - тому дозвольте додати ще кілька деталей (включаючи деякі згадані раніше моменти, для контексту):

  • Aptoide не є "єдиною областю для додатків", як Google Play або Amazon App-Store. Це досить порівняно з тим, що Launchpad призначений для Ubuntu: кожен і його маленька сестра можуть відкрити тут своє сховище, яке представлено як "магазин", відокремлений від інших. Однак існує глобальний пошук (для додатків і магазинів).
  • Є лише одне сховище, яке «курірується вручну» самим Aptoide, під назвою « Додатки ». Тут команда Aptoide вирішує, які програми входять у сховище. Ось я…
    • не знайшли жодного "піратського платного додатка", будь то гроші чи безкоштовно
    • перевірив підписи деяких додатків і виявив, що вони відповідають усім, які я перевірив, з Google Play
    • не пам’ятайте жодного додатку без «довіреної» грифа (тобто так помічений додаток перевірено на наявність шкідливого програмного забезпечення з кількома сканерами (включаючи власний «вимикач» Aptoide)), підписи перевірені на відповідність іншим ринкам (переважно Google Play ) та інше - див. мою вже згадану іншу відповідь для детальної інформації про це)

Отже, мій висновок насправді досить безпечно використовувати це сховище .

Однак я також оглянув декілька інших сховищ - де ви дійсно можете знайти безліч очевидно «піратських додатків» (платні програми від GPlay «безкоштовно» - це завжди сигнал для цього). У тих місцях часто не вистачало "довіреної" штампа, але натомість я часто знаходив "ненадійний" штамп - це означає, що програма, ймовірно, була забруднена (деталі розрізнялися; найчастіше я знаходив підпис як питання: "це використовувався в іншому місці для підписання іншого пакета розробників "на 99% впевнено вказує" хак ").

Підводячи підсумок: тут не можна дати загальної відповіді (це було б відповіддю на питання, чи "Земля" - це безпечне місце для проживання). Наскільки безпечно використовувати Aptoide, значною мірою залежить від вашого вибору сховища. Один, як відомо, курирується вручну і, смію сказати, настільки ж безпечний, як Google Play , Amazon App Store та інші. Кілька з них можна вважати досить безпечними - особливо, якщо ви знаєте про їх власників і дотримуєтесь програм, що показують "надійний" щит.

Уникайте, щоб додатки не присвоювали щиту (на даний момент зелений) "довірений" щит, особливо не слідкуйте за тими, що показують (на даний момент жовтий) "ненадійний" щит, найкраще також дотримуватися лише сховища додатків - і Aptoide повинен бути безпечним місцем для вас .

Я вважаю сховище додатків досить безпечним, щоб пов’язати його зі списку моїх додатків - поруч із F-Droid та Google Play.

Ізи
джерело
Якщо "довірені", тобто зелені програми, перевіряються за допомогою підпису з Google Play, чому краще лише дотримуватися лише сховища додатків?
hulkingtickets
@hulkingtickets тому, що таким чином ви не ризикуєте "випадково потрапити на жовтий". У всіх нас є свої моменти, коли ми відволікаємось (або "хтось інший" використовує наш пристрій).
Іззі
4

Aptoide - відомий піратський сайт для програм Android. Якщо ви думаєте, що будь-який сайт, який свідомо розповсюджує піратське програмне забезпечення, є безпечним, ви налаштовані досить оптимістично.

Майкл А.
джерело
1
Ви не повинні писати те, чого не можете створити резервні копії за джерелами. Те, що ви пишете, - це як сказати: "У Windows завжди є віруси", "Користувачі комп'ютерів - хакери" тощо. Ви навіть читали відповідь користувача64756 ? Існує кураторний сховище, є "приватні сховища". Те, що стосується першого, контролюється персоналом - що не може обов'язково сказати для другого.
Іззі
3
Сміття. Aptoide був піратським сайтом з моменту заснування та продовжує отримувати прибуток від розповсюдження піратського програмного забезпечення. Стверджувати, що персонал не може нести відповідальність за те, що вони дозволяють та отримувати прибуток, в кращому випадку - семантика.
Майкл А.
2
Те, що ви пишете, - це як сказати: "Піратбай - це не піратський сайт". : D
Майкл А.
2
Не смій мене. Титульна сторінка aptoide відкрито рекламує піратські продукти. "О, але цей маленький куточок сайту чистий" ... так, це ми чули раніше. Те саме старе "о, але ми торрент-сайти посилаються лише на матеріал, ми не можемо контролювати те, що розміщується".
Михайло А.
2
Я не буду сперечатися з тобою. Я деякий час був у тісному контакті з Пауло, і я спостерігав Aptoide вже близько року. Наразі у них є власне репо з майже 50 000 додатків, що, безумовно, є чистим - і пропонують усім відкрити та підтримувати своє власне репо, де вони не можуть поручитися за вміст. Ви можете повідомити про "ілк", і він видаляється - але вони не "йдуть на полювання" самі. // Оскільки злодії та Мафіозі користуються банківськими рахунками, я рекомендую також уникати банківських рахунків - оскільки банківські службовці також перевіряють лише те, що їм сказано (вибачте, не втримався;) Не кидайте дитину разом з водою; )
Іззі
3

Нещодавно я випустив свій додаток для Android Westward Dystopia в магазині Google Play ТОЛЬКО і протягом кількох днів виявив, що його пропонують на Aptoide. Коли я зв’язався з компанією, щоб видалити вміст, вони сказали мені, що цього не робитимуть, якщо я не зареєструвався спочатку для їх обслуговування та відкрив у них рахунок.

Це НЕ, як легітимний сайт запускається. Я б не довіряв їм, наскільки я міг їх кинути. Користувачі будьте обережні.

реманар
джерело
Це саме формулювання в електронному листі, яке я отримав після повідомлення про крадіжку мого вмісту та розміщення його на вашому веб-сайті: "Щоб видалити запитувану програму, нам потрібно мати точну URL-адресу Aptoide, де стоїть програма, і її недостатньо для надішліть нам рядок 1.- Надіславши одну URL-адресу. Потім ми пропонуємо вам заповнити Звіт про порушення, який ви можете знайти тут: aptoide.com/report/abuse Щоб подати форму, будь ласка, зареєструйтесь у того самого розробника Google Play електронною поштою та не забудьте активувати свій рахунок. "
ремар
Я тут прибрав коментарі. Дякуємо, що розповіли про свій досвід, ремане; кожен, хто бажає обговорити це з вами, повинен запросити вас до чату ентузіастів Android .
Матвій
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.