Jak bezpieczne jest stosowanie Aptoide?

34

Podobnie jak w przypadku najnowszej aktualizacji Google Play, teraz już wyświetla się pełna lista uprawnień wymaganych przez aplikację podczas instalacji / aktualizacji 1 , czuję, że moja prywatność została naruszona. Co gorsza, aplikacja może się zakraść z dodatkowymi uprawnieniami dzięki aktualizacji i bez wiedzy użytkownika 2,3 .

Więc szukam alternatyw.

TL; DR:

Wiem, że mamy Jakie są alternatywne rynki aplikacji na Androida? , ale a) to mniej więcej lista innych rynków (bez podania tła) 4 , i b) nawet nie wspomina o Aptoide .

Nie chcę innej aplikacji, która musi działać w tle na stałe, aby „sprawdzić ważność licencji”, więc rzeczy takie jak Amazon Appstore lub AndroidPIT są niedostępne. AppBrain to po prostu kolejny interfejs do Google Play - choć jest tak miły, że nie rozwiązuje problemu, ponieważ w przypadku instalacji aplikacji i aktualizacji musi tylko przekierować do Google Play - co raczej zamierzam „ uciec".

Już kilka dni temu wypróbowałem F-Droida i czuję, że całkiem odpowiada moim potrzebom (kliknij link, aby uzyskać szczegółowe informacje) - ale przy zaledwie 1,200 aplikacji (na dzień 6/2014) pozostawia zbyt wiele luk.

Mówi się, że Aptoide obsługuje obecnie ponad 120 000 aplikacji . Jak sama nazwa wskazuje, używarepozytoriów w stylu APT , do których jestem przyzwyczajony z Linuksa (Debian i pochodne). Pozwala nawet na posiadanie własnego prywatnego repozytorium do udostępniania aplikacji między urządzeniami (lub przyjaciółmi). Wszystkie aplikacje są oferowane za darmo, więc nie potrzebujesz „serwera licencji”. Ale jak bezpieczny jest dla użytkownika końcowego? Gogłem (i uchylałem się) od wielu godzin, ale nie mogłem znaleźć na to żadnego źródła. Zamiast tego znalazłem wiele linków typu „otrzymuj płatne aplikacje za darmo”, „czarny rynek” i inne rzeczy zorientowane na piractwo - czego zdecydowanie nie szukam. Jestem więcej niż otwarty na płacenie za dobre aplikacje 5 , więc „otrzymuję je za darmo” nie jest intencją mojego pytania. LubićF-Droid , Aptoide ma wiele repozytoriów - ale nie mogłem dowiedzieć się, czy istnieje „repozytorium główne”, jak w przypadku F-Droida .

W opisie pakietu dostępne są powiązane informacje (np. Ten ) wskazujące środki bezpieczeństwa, takie jak skanowanie w poszukiwaniu złośliwego oprogramowania, sprawdzanie poprawności podpisów i sprawdzanie poprawności przez strony trzecie. Ale jak pokazuje odpowiednia strona internetowa , ta informacja wydaje się przynajmniej częściowo opierać na opiniach użytkowników (które mogą być sfałszowane / zmanipulowane) lub nawet nie są prezentowane użytkownikowi (informacje o pakiecie, np. Nazwy 3 skanerów używanych do sprawdzenia, I nie mogę znaleźć tych informacji na stronie internetowej). Chociaż może uda mi się sprawdzić informacje za pomocą informacji o pakiecie, nie mogę poprosić o to np. Moich 70-letnich rodziców. Na tej stronie , Aptoide wskazuje również, w jaki sposób, aby zobaczyć wyniki swoich środków bezpieczeństwa i wyraźnie stwierdza:

Platforma Aptoide Anti-Malware analizuje aplikacje w czasie wykonywania i wyłącza potencjalne zagrożenia we wszystkich sklepach.

(Moje podkreślenie) - co sugeruje ochronę przed złośliwym oprogramowaniem porównywalną z ochroną Google Play (jak to idzie w parze z tymi „plotkami z czarnego rynku”? Może po prostu nie usuwają szkodliwych aplikacji, a jedynie je zaznaczają ?).

Więc w końcu

Pytanie:

Czy istnieje sposób, aby bezpiecznie używać Aptoide jako źródła aplikacji? Jeśli tak to jak? 6 Jeśli nie, dlaczego nie?

Punkty bonusowe za „idiotyczny” sposób, który można polecić mniej doświadczonym użytkownikom.


Przypisy

1 Wiem, że byłoby możliwe otwarcie stronyinternetowej aplikacji Sklep Google Play , przewinięcie jej i kliknięcie odpowiedniego łącza po znalezieniu - ale nie można nazwać tego przyjaznym dla użytkownika ani oczekiwać, że użytkownicy zrobią to przy każdej aktualizacji.
2 np. Przy pierwszej instalacji zażądał „niczego nie podejrzewającego”READ_PHONE_STATEze zwykłym uzasadnieniem. Z aktualizacji, to może zażądaćCALL_PHONE,PROCESS_OUTGOING_CALLSi inni - a aplikacja Play nie przyniesie, że nawet, gdy należą one do tej samej grupy „”.
3 Aby obliczyć „nowe uprawnienia”, trzeba było porównać uprawnienia zainstalowanej wersji z prawami obecnej. Baw się dobrze!
4 Właśnie zredagowałem dwie odpowiedzi i dodałem kilka szczegółów na temat AppBrain i F-Droidaby wypełnić te luki
5 Kupiłem wiele aplikacji w Google Play (lub przekazałem darowiznę bezpośrednio), i np. F-Droid ma przyciski darowizn na stronie każdej aplikacji, aby umożliwić to
6 Mogłem sobie wyobrazić, wiedząc (i ograniczając twoje zastosowanie do) „bezpiecznych repozytoriów Aptoide” można to osiągnąć. Ale jak napisałem, nie mogłem dowiedzieć się, które z nich uznać za „bezpieczne”. Artykuł Aptoide na Wikipedii sugeruje, że podczas instalacji istnieje „domyślne repozytorium”, a więcej repozytoriów należy dodać ręcznie; więc może trzymać się tego, że pierwszy jest bezpieczny.

Izzy
źródło
Myślę, że sklep z aplikacjami jest tak bezpieczny, jak zaufanie do kuratorów lub (w przypadku całkowicie otwartego sklepu z aplikacjami) programistów, którzy przesyłają aplikacje. IMHO, dla Aptoide, umieściłbym to w kategorii „tak samo bezpiecznej, jak twórcy aplikacji”. Ale to dlatego, że nic nie wiem o zainteresowaniach kuratorów. Mam nadzieję, że mimo iż trudniej było ustalić, czy twórca aplikacji prosi o więcej niż poprzednią wersję, Google jest zainteresowany tym, aby złośliwe aplikacje nie rozprzestrzeniały się w całym ekosystemie. Nie jestem pewien motywów Aptoid.
ctt
Dzięki za komentarze! Jeśli chodzi o Google Play, nie martwię się zbytnio o „złośliwe aplikacje” w sensie zdrowym (choć kilka z nich co jakiś czas również wymyka się spod kontroli Google), ale raczej o „kolektory danych” i jak (z Google jest jednym z największych). I nie jestem pewien co do Aptoid, dlatego zadaję to pytanie :) Nie chcę zastępować problemu innym. I chcę wiedzieć na pewno, co mogę polecić innym.
Izzy
O cholera, oznaczyłem to przez pomyłkę, moje apoliny! To było pytanie Przepełnienie stosu w drugiej zakładce. To moja wskazówka na przerwę!
RossC
Pominąłeś ważny punkt - czy Aptoide oferuje nawet proces aktualizacji aplikacji, który powiadamia Cię o zmianach uprawnień? Biorąc pod uwagę oczywisty spadek bezpieczeństwa i ochrony podczas korzystania ze zdecentralizowanej infrastruktury, która jest piracka, powinna oferować pewne korzyści poza tym, że nie jest Google. Jeśli martwisz się o podstępne zbieranie danych, powiedziałbym, że jesteś bardziej niebezpieczny przy pobieraniu aplikacji ze sklepu z aplikacjami przesyłanymi zbiorczo, a nie przez programistów (i prawdopodobnie zmodyfikowanych).
ProjectJourneyman
1
@ProjektJourneyman Google Play nie daje takich wskazówek dotyczących aktualizacji (jeśli nowe uprawnienia zostaną dodane do „tej samej grupy”). Ponieważ Aptoide, F-Droid i inni to „rynki stron trzecich”, zawsze muszą wywoływać „lokalnego instalatora pakietów”, który pokazuje wszystkie uprawnienia aplikacji do aktualizacji / instalacji przed kontynuowaniem instalacji . Niestety nie jest to „diff” w stosunku do obecnej wersji.
Izzy

Odpowiedzi:

20

Dziękujemy za postawienie tych pytań. Oto kilka informacji o Aptoide, które, mam nadzieję, będą przydatne dla Ciebie i społeczności Stackexchange / Android:

  1. Malware to coś, co traktujemy bardzo poważnie. Obecnie mamy 3 różne systemy do wykrywania złośliwego oprogramowania, które pojawiają się w dowolnym sklepie z aplikacjami opartym na Aptoide:
    • uruchamiamy 3 różne antywirusy w emulatorach w czasie wykonywania
    • mamy wewnętrzny system podpisów do wykrywania powtarzających się zagrożeń
    • wdrożyliśmy łańcuch zaufania oparty na podpisie dewelopera
  2. Zadaniem stworzenia bezpiecznego środowiska dla użytkownika końcowego jest ruchomy cel. Współpracujemy z kilkoma uniwersytetami i ośrodkami badawczymi, aw ostatnim artykule (jeszcze nieopublikowanym) porównujemy dobrze z innymi sklepami z aplikacjami. Zaproponowaliśmy również europejski projekt badawczy z 2 firmami antywirusowymi i 3 uniwersytetami / ośrodkami badawczymi, aby zająć się tym tematem. Jest wiele do zrobienia, a opinia społeczności jest ważna.
  3. F-Droid jest w rzeczywistości bardzo podobny do Aptoide. Są rozwidleniem Aptoide i zachowują wszystkie opracowane przez nas koncepcje, takie jak wiele sklepów. Mają bardziej scentralizowane podejście i centralny podpis, który oczywiście różni się od naszego podejścia.
  4. W Aptoide mamy pieczęć „Zaufany”. Jeśli zobaczysz Zaufany znaczek w aplikacji, mamy 99,99% pewności, że aplikacja nie zawiera zagrożenia dla użytkownika końcowego.

Best,
Paulo Trezentos (współzałożyciel Aptoide)

użytkownik64756
źródło
Dziękuję bardzo za twoje szczegóły, Paulo! Chociaż spodziewałem się tyle samo, dobrze jest mieć te szczegóły z pierwszej ręki. Czy jest coś do powiedzenia na temat tego, które repozytoria są uważane za „bezpieczniejsze” / „główne” (jak centralne w F-Droidie - który oprócz IMHO jest jedynym, który używa centralnej sygnatury, o której wspomniałeś w 3.) „bardziej ostrożny użytkownik” - czy wszyscy są traktowani podobnie? Co z tymi „czarnymi rynkami”, z którymi Aptoide jest tak często związany? I czy „zaufany” znaczek 4. jest w jakiś sposób zakodowany w XML, o którym wspomniałem (np. Automatycznie wykrywany przez skrypt)?
Izzy
@ wszystkie Brakujące dane zostały wysłane do mnie pocztą, równolegle do postu Paulo tutaj. Znajdź je podsumowane w mojej odpowiedzi na Jakie są alternatywne rynki aplikacji na Androida?
Izzy
Szacunek, przekonał mnie
l0Ft
1
Malware is something that we take very seriously Naprawdę? Zgłosiłem potencjalny problem za pośrednictwem formularza internetowego i po tygodniu nic się nie wydarzyło. Zobacz aptoide-how-to-report-potencjał-nadużycie-bez-zostania-członkiem
k3b
9

Po odpowiedzi Paula , dalszej wymianie korespondencji z nim, już napisałem szczegółowy opis w mojej odpowiedzi na inne pytanie - a także w artykule na mojej własnej stronie: rynki Androida: Jak bezpieczne są alternatywne źródła?

Następnie od tego czasu uważnie obserwuję Aptoide i nadal tak robię - więc dodaję jeszcze kilka szczegółów (w tym kilka kwestii już wspomnianych wcześniej w kontekście):

  • Aptoide nie jest „pojedynczym obszarem dla aplikacji”, takim jak Google Play czy Amazon App-Store. Jest to raczej porównywalne z tym, czym jest Launchpad dla Ubuntu: każdy i jego młodsza siostra mogą tutaj otworzyć własne repozytorium, które jest prezentowane jako „sklep” oddzielony od innych. Istnieje jednak wyszukiwanie globalne (dla aplikacji i sklepów).
  • Istnieje tylko jedno repozytorium, które jest „ręcznie wyleczone” przez samą Aptoide, zwane „ aplikacjami ”. Tutaj zespół Aptoide decyduje, które aplikacje wchodzą do repozytorium. Tutaj ja…
    • nie znalazłem ani jednej „pirackiej płatnej aplikacji”, czy to za pieniądze, czy za darmo
    • sprawdziłem podpisy niektórych aplikacji i znalazłem je pasujące do tych z Google Play dla wszystkich, które sprawdziłem
    • nie pamiętam żadnej aplikacji bez „zaufanego” znaczka (co oznacza, że ​​tak oznaczona aplikacja została sprawdzona pod kątem złośliwego oprogramowania za pomocą wielu skanerów (w tym własnego „bouncera” Aptoide)), podpisy zostały zweryfikowane pod kątem zgodności z podpisami innych rynków (głównie Google Play ) i nie tylko - więcej szczegółów na ten temat znajduje się w mojej wcześniej wspomnianej innej odpowiedzi )

Tak więc, moim zdaniem, korzystanie z tego repozytorium jest całkiem bezpieczne .

Jednak przyjrzałem się także kilku innym repozytoriom - gdzie rzeczywiście można znaleźć wiele „pirackich aplikacji” (aplikacje płatne z GPlay „za darmo” zawsze są na to sygnałem). W tych miejscach często brakowało nie tylko „zaufanego” znaczka, ale często znajdowałem znaczek „niezaufany” - co oznacza, że ​​aplikacja była prawdopodobnie skażona (szczegóły były różne; najczęściej znajdowałem podpis: został użyty w innym miejscu do podpisania innego pakietu deweloperów ”, na 99% z pewnością oznacza„ włamanie ”).


Podsumowując: Nie można tu udzielić ogólnej odpowiedzi (odpowiadałoby to na pytanie, czy „Ziemia” jest bezpiecznym miejscem do życia). To, jak bezpieczne jest używanie Aptoide, zależy w dużej mierze od wyboru repozytorium. Jedna z nich jest ręcznie wyleczona i, śmiem twierdzić, równie bezpieczna jak Google Play , Amazon App Store i inne. Niektóre można uznać za całkiem bezpieczne - zwłaszcza jeśli wiesz o ich właścicielach i trzymaj się aplikacji wyświetlających „zaufaną” tarczę.

Unikaj przypisywania aplikacji (obecnie zielonej) „zaufanej” tarczy, szczególnie trzymaj się z daleka od tych, które pokazują (obecnie żółtą) „niezaufaną” tarczę, najlepiej trzymaj się również samego repozytorium aplikacji - a Aptoide powinno być dla ciebie bezpiecznym miejscem .

Uważam, że repozytorium aplikacji jest wystarczająco bezpieczne, aby połączyć je z listami aplikacji - obok F-Droida i Google Play.

Izzy
źródło
Jeśli „zaufane”, tj. Zielone aplikacje są weryfikowane przy użyciu podpisu z Google Play, dlaczego lepiej jest trzymać się tylko repozytorium aplikacji?
hulkingtickets,
@hulkingtickets, ponieważ w ten sposób nie ryzykujesz „przypadkowego trafienia żółtego”. Wszyscy mamy momenty, w których jesteśmy rozproszeni (lub „ktoś inny” korzysta z naszego urządzenia).
Izzy
4

Aptoide to znana strona piracka dla aplikacji na Androida. Jeśli uważasz, że jakakolwiek strona, która świadomie dystrybuuje pirackie oprogramowanie, jest bezpieczna, jesteś dość optymistą.

Michael A.
źródło
1
Nie powinieneś pisać czegoś, czego nie możesz utworzyć kopii zapasowej według źródeł. To, co piszesz, przypomina powiedzenie „Windows zawsze ma wirusy”, „użytkownicy komputerów to hakerzy” i tym podobne. Czy przeczytałeś nawet odpowiedź użytkownika 64756 ? Istnieje wyselekcjonowane repozytorium i są „prywatne repozytoria”. To, co dochodzi do pierwszego, kontrolowane jest przez personel - czego niekoniecznie trzeba powiedzieć o drugim.
Izzy
3
Śmieci. Aptoide jest stroną piracką od samego początku i nadal czerpie zyski z dystrybucji pirackiego oprogramowania. Twierdzenie, że personel nie może być pociągnięty do odpowiedzialności za to, co umożliwia i z którego korzysta, jest w najlepszym razie semantyką.
Michael A.
2
To, co piszesz, przypomina powiedzenie „Piratebay nie jest witryną piracką”. : D
Michael A.
2
Nie rozśmieszaj mnie. Pierwsza strona aptoide otwarcie promuje pirackie produkty. Mówię „och, ale ten mały zakątek strony jest czysty” ... tak, już to słyszeliśmy. To samo stare „och, ale strony z torrentami zawierają tylko linki do materiałów, nie możemy kontrolować tego, co zostanie opublikowane”.
Michael A.
2
Nie będę się z tobą kłócić. Przez jakiś czas miałem bliski kontakt z Paulo i obserwowałem Aptoide od około roku. Mają własne repozytorium z prawie 50 000 aplikacji, co zdecydowanie jest czyste - i oferują każdemu otwarcie i utrzymanie własnego repozytorium, w którym nie mogą ręczyć za treść. Możesz zgłosić „ilk”, który zostanie usunięty - ale sami nie „polują”. // Ponieważ złodzieje i Mafiosi używają kont bankowych, radzę trzymać się z daleka od banków - ponieważ urzędnicy bankowi sprawdzają również, czy ktoś im to powiedział (przepraszam, nie mogłem się oprzeć;) Nie wyrzucaj dziecka z kąpielą; )
Izzy
3

Niedawno wypuściłem moją aplikację na Androida Westward Dystopia TYLKO w sklepie Google Play, aw ciągu kilku dni znalazłem ją na Aptoide. Kiedy skontaktowałem się z firmą w celu usunięcia treści, powiedzieli mi, że nie zrobią tego, chyba że najpierw zarejestruję się w ich serwisie i otworzę konto.

NIE jest to sposób, w jaki działa legalna witryna. Nie ufałbym im tak daleko, jak tylko mogłem je rzucić. Użytkownicy strzeżcie się.

regomar
źródło
Oto dokładne sformułowanie w wiadomości e-mail otrzymanej po zgłoszeniu kradzieży moich treści i hostingu ich w Twojej witrynie: „Aby usunąć żądaną aplikację, musimy mieć dokładny adres URL Aptoide w miejscu, w którym znajduje się aplikacja, i nie wystarczy wyślij nam ciąg. 1.- Podanie jednego adresu URL Sugerujemy następnie wypełnienie raportu o nadużyciach, który można znaleźć tutaj: aptoide.com/report/abuse Aby przesłać formularz, zarejestruj się u tego samego programisty Google Play e-mailem i nie zapomnij aktywować konta. ”
regomar
Wyczyściłem komentarze tutaj. Dziękujemy za podzielenie się swoim doświadczeniem, regomar; każdy, kto chce z tobą porozmawiać, powinien zaprosić Cię na Czat Entuzjastów Androida .
Mateusz