Aptoide kullanmak ne kadar güvenli?

Google Play’deki en son güncellemede olduğu gibi, artık bir uygulamada yükleme / güncelleme ¹ tarafından talep edilen izinlerin tam listesini artık daha uzun görüyorsa, gizliliğimin istila ettiğini hissediyorum. Daha da kötüsü, bir uygulama bir güncelleme ile ve kullanıcının haberi olmadan ^2,3 ek izinlere gizlice girebilir .

Bu yüzden alternatiflere bakıyorum.

TL; DR:

Elimizde olduğunu biliyorum Alternatif Android uygulama pazarları nelerdir? , fakat a) bu az çok başka pazarların bir listesidir (arkaplan vermeden) ⁴ ve b) Aptoide'dan bile söz etmez .

"Lisans geçerliliğini kontrol etmek" için kalıcı olarak arka planda çalışması gereken başka bir uygulamanın olmasını istemiyorum, bu yüzden Amazon Appstore veya AndroidPIT gibi şeyler yok. AppBrain , Google Play'de bir başka ön uç - bu çok güzel, sorunu çözmez, çünkü uygulama yükler ve güncellemeler için Google Play’e yeniden yönlendirmesi gerekir - ki bunun yerine " "kaçar.

Birkaç gün önce F-Droid'i çoktan kontrol ettim ve ihtiyaçlarımı oldukça karşıladığını hissediyorum (ayrıntılar için bağlantıyı izleyin) - ancak yaklaşık 1.200 Uygulama (6/2014 itibariyle) çok fazla boşluk bırakıyor.

Diğer taraftan Aptoide'nin şu anda 120.000'den fazla uygulamaya hizmet verdiği söyleniyor . Adından da anlaşılacağı gibi,ben Linux (Debian ve türevleri) alıştığım APT tarzı depolarıkullanır. Cihazlar (veya arkadaşlarınızla) arasında uygulamaları paylaşmak için kendi özel reponuz bile olmasına izin verir. Tüm uygulamalar ücretsiz olarak sunulmaktadır, dolayısıyla bir "lisans sunucusu" na gerek yoktur. Fakat son kullanıcı için ne kadar güvenli? Saatlerce googledim (ve eğildim) ancak bu konuda hiçbir kaynak bulamadım. Bunun yerine, "ücretsiz olarak ücretli uygulamalar al", "karaborsa" ve diğer korsanlıkla ilgili türlerle ilgili birçok bağlantı buldum - bu kesinlikle benim peşimde olmayan bir şey. İyi uygulamalar ⁵ için para ödemekten daha fazla açığım, bu yüzden "onları ücretsiz almak" sorumun arkasındaki niyet değil. SevmekF-Droid , Aptoide birden depoları var - ama olduğu gibi bir "güven-able" ana depo olup olmadığını çözemedim F-Droid .

Kötü amaçlı yazılım taraması, imza doğrulama ve üçüncü taraf doğrulama gibi güvenlik önlemlerini belirten paket açıklamasında (örneğin bu ) ilgili bilgiler bulunmaktadır . Ancak ilgili web sayfasının gösterdiği gibi, bu bilgiler en azından kısmen kullanıcı geri bildirimlerine dayanıyor (sahte / manipüle edilebilecek) veya kullanıcıya bile sunulmuyor (paket bilgisi, örneğin kontrol etmek için kullanılan 3 tarayıcı isimleri, bu bilgiyi web sayfasında bulamıyor). Paket bilgileri aracılığıyla bazı şeyleri aramam mümkün olsa da, 70 yaş ve üstü ebeveynlerimden bunu isteyemem. On Bu sayfada , Aptoide da kendi güvenlik önlemlerinin sonuçlarını görmek ve açıkça belirtmektedir nasıl işaret:

Aptoide Anti-Malware platformu, çalışma zamanında uygulamaları analiz eder ve tüm mağazalardaki potansiyel tehditleri engeller .

(Vurgu madeni) - Google Play'le karşılaştırılabilir bir kötü amaçlı yazılımdan korunma öneren şey (bu "karaborsa söylentileri" ile birlikte nasıl işler?) Belki rahatsız edici uygulamaları kaldırmazlar , yalnızca bunları işaretler mi?)

En sonunda

Soru:

Aptoide'yi uygulamalar için kaynak olarak güvenle kullanmanın bir yolu var mı ? Öyleyse nasıl? ⁶ Değilse neden olmasın?

Daha az deneyimli kullanıcılara önerilebilecek "salak kanıt" yöntemi için bonus puan.

Dipnotlar

¹ Uygulamanın Google Play Store web sayfasınıaçmanın mümkün olduğunu biliyorum, uygulamanın içinde ilerleyin ve bulunduğunda ilgili bağlantıyı tıklayın - ancak bu kullanıcı dostu olarak çağrı yapamaz veya kullanıcıların her güncellemede bunu yapmasını bekleyemezsiniz.
² örn. İlk kurulumdaREAD_PHONE_STATEnormal gerekçelerle"şüphelenmeden" talep etti. Bir güncelleme ile, isteğiCALL_PHONE,PROCESS_OUTGOING_CALLSve diğerleri - ve "aynı grup" ait olarak Play uygulama, o kadar getirmeyecek.
³ "Yeni izinleri" anlamak için, kurulu sürümünki ile mevcut sürümünki arasında bir karşılaştırma yapılması gerekti. İyi eğlenceler!
⁴ Sadece iki yanıtı düzenledim ve AppBrain ve F-Droid hakkında bazı detaylar ekledimbu boşlukları doldurmak için
⁵ Ben çok fazla uygulamanız aldım Google Play (doğrudan dev veya bağışlanan) ve örneğin F-Droid bunu mümkün kılmak için her uygulamanın sayfasında bağış düğmeleri vardır
⁶ Ben bilerek düşünebiliriz (ve kısıtlayan kullanımınız olan) "güvenli Aptoide depoları" ile bu sağlanabilir. Ama yazdığım gibi, hangilerinin "güvenli" olduğunu düşünemedim. Vikipedi'de Aptoide makale orada yüklemek bir "varsayılan repo", ve daha repo elle eklenmesi gerekir öneriyor; bu yüzden birinciye yapışan güvenli olabilir.

Bu soruları dile getirdiğin için teşekkür ederim. Aptoide hakkında umarım, sizin ve Stackexchange / Android topluluğu için faydalı olacağını umuyorum:

1. Kötü amaçlı yazılım, çok ciddiye aldığımız bir şeydir. Şu anda, herhangi bir Aptoide destekli uygulama mağazasına ulaştıklarında kötü amaçlı yazılımları tespit etmek için 3 farklı sistemimiz var:
   • emülatörlerde çalışma zamanında 3 farklı antivirüs virüsü kullanıyoruz
   • yinelenen tehditleri tespit etmek için şirket içi imza sistemimiz var
   • geliştiricinin imzasına dayanan bir güven zinciri uyguladık
2. Son kullanıcı için güvenli bir ortam oluşturma görevi hareketli bir hedeftir. Birkaç üniversite ve araştırma merkeziyle çalışıyoruz ve son zamanlarda yayınlanan bir makalede (henüz yayınlanmadı) diğer uygulama mağazalarıyla iyi karşılaştırıyoruz. Ayrıca, bu konuyla ilgilenmek için 2 anti-virüs şirketi ve 3 üniversite / araştırma merkezi içeren bir Avrupa araştırma projesi önerdik. Yapılacak çok iş var ve topluluğun geri bildirimi önemlidir.
3. F-Droid aslında Aptoide'ye çok benziyor. Onlar bir Aptoide çatalı ve geliştirdiğimiz tüm konseptleri, çoklu mağazalar gibi koruyorlar. Daha merkezi bir yaklaşıma ve elbette bizim yaklaşımımızdan farklıysa merkezi bir imzaya sahipler.
4. Aptoide'de "Güvenilir" damgası bulunur. Bir uygulamada Güvenilir damgasını görürseniz, uygulamanın son kullanıcı için bir tehdit içermediğinden% 99,99 oranında eminiz.

Best,
Paulo Trezentos (Aptoide kurucu ortağı)

Paulo'nun cevabından sonra , onunla daha fazla posta alışverişinde bulunduğumda, başka bir soruya cevabımla ilgili ayrıntılı bir açıklama yazdım - ve ayrıca kendi sitemdeki bir makalede: Android Marketleri: Alternatif kaynaklar ne kadar güvenli?

Bundan sonra, o zamandan beri Aptoide'yi yakından takip ettim ve hala devam ediyorum - bu yüzden birkaç detay daha ekleyeyim (bağlam için daha önce belirtilen bazı noktalar dahil)

• Aptoide , Google Play veya Amazon App-Store gibi "uygulamalar için tek bir alan" değildir . Launchpad'in Ubuntu için ne olduğu ile karşılaştırılabilir : Herkes ve küçük kız kardeşi, burada diğerlerinden ayrılmış bir "mağaza" olarak sunulan kendi depolarını açabilirler. Yine de, küresel bir arama var (uygulamalar ve mağazalar için).
• Aptoide tarafından " Uygulamalar " olarak adlandırılan "elle küratörlüğünü yapan" tek bir havuz var . Burada Aptoide ekibi hangi uygulamaların depoya girdiğine karar verir. İşte ben…
  • tek veya "korsan ücretli bir uygulama" bulamadım, para için ya da ücretsiz
  • Bazı uygulamaların imzalarını kontrol ettim ve kontrol ettiğim herkes için Google Play’den gelenlerle eşleştirdik
  • "güvenilir" damgası olmayan herhangi bir uygulamayı hatırlamayın (yani işaretli uygulama, birden fazla tarayıcı içeren kötü amaçlı yazılımlar için denetlendi (Aptoide'nin kendi "fedai" dahil), imzaların diğer pazarlarınkilerle eşleştiği doğrulandı (çoğunlukla Google Play ), ve daha fazlası - bu konudaki ayrıntılar için daha önce bahsettiğim cevabı gör )

Bu yüzden benim sonucum bu depoyu kullanmak oldukça güvenli .

Ancak, diğer havuzlardan bazılarına da baktım - gerçekten çok sayıda "korsan uygulama" bulabildiğiniz (GPlay'den ücretli uygulamalar "ücretsiz" her zaman bunun bir işaretidir). Bu yerlerde, yalnızca "güvenilir" damga sık sık eksik değildi - bunun yerine sık sık "güvenilmeyen" damgayı da buldum - bunun anlamı uygulamanın kontamine olduğu anlamına geliyor (ayrıntılar farklıydı; çoğu zaman sorunun imzalandığını gördüm: " başka bir geliştirici paketini imzalamak için başka bir yerde kullanıldı "," kesmeyi gösterdiğine emin% 99'dur))

Özetle: Burada genel bir cevap verilemez (bu, "Dünya'nın" yaşamak için güvenli bir yer olup olmadığı sorusunu yanıtlar). Aptoide'i kullanmanın ne kadar güvenli olduğu, depo seçiminize bağlıdır. Birinin elle küratörlüğünü yaptığı biliniyor ve diyorum ki Google Play , Amazon App Store ve diğerleri kadar güvenli . Birkaçı oldukça güvenli olarak kabul edilebilir - özellikle sahipleri hakkında bir şey biliyorsanız ve "güvenilir" kalkanı gösteren uygulamalara sadık kalırsanız.

(Şu anda yeşil) "güvenilir" kalkanın atanmamış uygulamalarından kaçının, özellikle (şu anda sarı) "güvenilmeyen" kalkanını gösterenlerden çok uzak durun, en iyisi yalnızca Uygulamalar deposuna bağlı kalmayın - Aptoide sizin için güvenli bir yer olmalıdır .

Ben düşünün Uygulamalar onu bağlamak için depo güvenli yeterince benim uygulama listeleri F-Droid ve Google Play'e sonraki -.

Aptoide Android uygulamalar için bilinen bir korsan sitesidir. Korsan yazılımları bilerek dağıtan herhangi bir sitenin güvenli olduğunu düşünüyorsanız, oldukça iyimsersiniz.

Geçenlerde Android uygulamam Westward Dystopia'yı SADECE Google Play mağazasında yayınladım ve birkaç gün içinde Aptoide'de teklif edildiğini öğrendim. İçeriğin kaldırılması için şirketle iletişim kurduğumda, önce hizmetleri için kayıt olmadığımda ve onlarla bir hesap açmadığım sürece bana söylemediklerini söylediler.

Bu meşru bir sitenin çalıştırılma şekli DEĞİLDİR. Onları atabildiğim kadar güvenmem. Kullanıcılar dikkat edin.