Woher wissen Sie, ob eine von der Seite geladene App sicher ist?

19

Wie können wir sicher sein, dass das APK einer App, die wir von einer Website herunterladen, sicher auf unserem Android-Handy installiert werden kann?

Gibt es eine Möglichkeit zu wissen, dass die heruntergeladene Datei sicher ist? Gibt es eine App oder einen Dienst, der die APK-Datei scannt und sagt This file is safe to install.

security side-loading HTTP
quelle
1
Wenn es sich um eine kostenpflichtige / werbefinanzierte App handelt und die Version, die Sie herunterladen, werbefrei und kostenlos ist, ist sie nicht sicher.
Dan Neely

Antworten:

15

Es ist schwierig zu wissen, ob eine APK sicher ist oder nicht. Am besten laden Sie sie von vertrauenswürdigen oder seriösen Quellen (wie Google Play, Amazon usw.) herunter.

Einige (vertrauenswürdige) Entwickler stellen auch einen MD5-Hash (oder einen anderen Message-Digest-Algorithmus) für ihre APKs bereit. Nachdem Sie die APK heruntergeladen haben, überprüfen Sie, ob die APK denselben Hash hat. Wenn ja, kann man mit Sicherheit sagen, dass es nicht manipuliert wurde.

Sie können auch die für das APK / die App erforderlichen Berechtigungen überprüfen und mit gesundem Menschenverstand (oder Ihrem eigenen Urteilsvermögen / Instinkt) feststellen, ob die Installation sicher ist oder nicht.

BOTTOMLINE: Immer von vertrauenswürdigen Quellen installieren. Finger weg von raubkopierten APKs; Möglicherweise haben sie Malware.

geffchang
quelle
Gibt es eine App, die erkennt, ob diese Anwendung Malware enthält?
HTTP
@Nesmar Keine Ahnung, aber Sie können immer ein Anti-Virus in Google Play ausprobieren.
27.
Ehrlich gesagt, ich bin mir nicht sicher, ob ein Antivirus-Programm in Android funktioniert, da es nicht ausgeführt wird, wenn Sie es nicht antippen. Ich meine, es läuft bereits im Hintergrund und überwacht Ihre Dateien, wenn Sie ein Antivirus-Programm installieren . Ich weiß nicht, ob man das auch mit dem Handy machen kann.
HTTP
@Nesmar Ich denke, einige Antivirenprogramme können als Dienst ausgeführt werden. Apps wie Screebl und Ad Block Plus werden beim Starten des Telefons ausgeführt.
Geffchang
5
+1 für das Endergebnis allein! Beim Herunterladen von unbekannten Quellen gibt es keine einfache Möglichkeit, dies zu beurteilen. Selbst mit MD5: Wenn sich beide Dateien (APK & MD5) auf demselben Server befinden, wer meldet Ihnen, dass nicht beide ersetzt wurden?
Izzy
9

Google hat eine Option zum Überprüfen von Apps ( Vor der Installation von Apps, die möglicherweise Schaden verursachen, nicht zulassen oder warnen ) für seitlich geladene Apps eingeführt, wenn unbekannte Quellen aktiviert sind (beide Einstellungen sind unter Einstellungen -> Sicherheit -> Geräteverwaltung verfügbar ).

Sie können auch einen Online-Virenscanner wie Virus Total verwenden , um Ihre heruntergeladene APK-Datei zu überprüfen.

Dies ist jedoch bei allen Scannerdiensten gleich: Sie sind sich nicht hundertprozentig sicher und erkennen möglicherweise nur bekannte schädliche Apps. Maßgeschneiderte Malware bleibt wahrscheinlich unentdeckt. Auch sehr neue bösartige Apps werden wahrscheinlich durchdringen, bis sie nach einiger Zeit erkannt werden.

ce4
quelle
1
Es wurde festgestellt, dass Malware-Scanner leicht zu umgehen sind (machen Sie einfach eine kleine Google-Suche ), sodass ich ihnen nicht weiter vertrauen würde, wie ich selbst sehen kann. Dies schließt die Google Verify-Apps ein .
Izzy
Sicher. Es wird jedoch regelmäßig alte Malware gefunden. Kein Malware-Scanner bietet 100% ige Sicherheit. Sie können sogar schädliche Apps aus dem offiziellen Play Store herunterladen (und der Apple Store ist da keine Ausnahme). Diese Scanner verbessern jedoch Ihre Sicherheit, wenn Sie Seitenladevorgänge durchführen müssen. Es ist wie mit Apples neuem Fingerabdruckscanner: Bereits umgangen, aber weitaus besser als gar keine PIN-Sperre (~ 40% der Besitzer haben aus praktischen Gründen keine PIN-Sperre).
ce4
Genau. Mein Fehler, nicht klar zu machen: Verlassen Sie sich niemals auf die Art und Weise, wie "Nichts kann passieren, ich habe ein Antivirus". Wenn Sie sie nur als Teil des Puzzles (anstelle des gesamten Bildes) sehen, können sie hilfreich sein.
Izzy
7

Wenn Sie die .apkDateien von unbekannten / nicht vertrauenswürdigen Quellen herunterladen , gibt es keine einfache Möglichkeit, dies zu beurteilen. Die meisten Anti-Whatever-Lösungen (Anti-Virus, Anti-Malware usw.) richten sich lediglich nach "Datenbankeinträgen" (dh sie verfügen über eine Datenbank mit bekannter Malware und prüfen, ob der Paketname übereinstimmt) oder überprüfen nur die angeforderten Berechtigungen ( und nicht, ob zB eine SMS-App nur die von Ihnen gewünschten SMS versendet). Ich habe noch nie von einem "echten" Heuristikscanner gehört, der das Verhalten einer App analysiert.

Obwohl es theoretisch möglich sein könnte, dass ein "Scanner" auch eine Art Prüfsumme überprüft (wie das erwähnte MD5), könnte dies nur gegen eine "vertrauenswürdige Basis" wie z. B. einen Playstore funktionieren. Für dort nicht verfügbare Apps würde es dann scheitern (nichts zu vergleichen). Und selbst für Apps, die dort verfügbar sind, müsste es mit derselben Version abgeglichen werden. Eine solche Lösung ist kaum praktikabel.

Meine Argumente mögen sich also unterscheiden, aber mein Fazit ist fast dasselbe wie das von geff: Nur von vertrauenswürdigen Quellen installieren. Während nichts zu 100% sicher ist, birgt dies die geringstmöglichen Risiken. Das höchste Risiko besteht bei Raubkopien, da sehr wahrscheinlich "schlechte Dinge" injiziert werden.

Izzy
quelle
Eine Möglichkeit, dies zu beurteilen, besteht darin, das Zertifikat mit bekannten guten Publishern zu vergleichen (dh, wenn Sie die neueste Version von Googles Ingress apk möchten, vergleichen Sie einfach, ob es mit demselben Zertifikat signiert ist wie das bereits installierte). Sie können bereits installierte Apps (aus dem Play Store) mit Side-Loading aktualisieren, wenn das Zertifikat identisch ist. Dies ist eine sichere Option (falls zutreffend).
ce4
Wird das Zertifikat automatisch verglichen, wenn Sie eine App per Side-Loading aktualisieren, oder müssen Sie etwas tun, um sicherzustellen, dass das Zertifikat identisch ist? Wenn ja, wie würden Sie das überprüfen?
LeBleu
1
@LeBleu Wenn die App bereits auf Ihrem Gerät installiert war, ja. Dann .apkmuss der neue mit dem gleichen "Schlüssel" signiert werden, den auch der installierte verwendet, sonst schlägt das Update fehl.
Izzy
5

Sie können das Paket in eine mobile Sandbox hochladen, um zu sehen, was es tut. Die Sandboxen führen die Binärdatei aus und Sie können die Ausführungsergebnisse sehen. Dies funktioniert auch für einige ehemals unbekannte Malware, da sie sich vorher nicht in einer av-Datenbank befinden muss. Beispiele für Sandboxes sind MobileSandbox , CopperDroid , SandDroid , TraceDroid , Joe Sabdox Mobile , ForSafe und andere.

Wie immer gibt es keine 100% ige Sicherheit, aber es gibt auch keine vollständige Sicherheit beim Herunterladen aus dem Play Store ...

Virustotal, das oben erwähnt wurde, hat vor kurzem begonnen, einige Beispiele auch in einer Sandbox auszuführen, und ist natürlich immer eine gute Wahl, da es gegen eine Größenordnung von bereits bekannter Malware testet. Ein ähnlicher Dienst wie Virustotal, jedoch speziell für Android, ist AndroTotal.

Domenukk
quelle
0

Ich verwende Lookout Security, es scannt jede App, die Sie installieren, und Sie können auch APKs scannen

ThaSaleni
quelle
1
Scannt sie nach was? Führt es tatsächlich eine Heuristikanalyse oder eine andere zuverlässige Analyse durch oder führt es nur eine Datenbankprüfung für den APK-Namen oder MD5 durch?
Onik
0

Heute ist es nicht mehr so ​​schwierig, sichere Apk-Dateien zu finden. Sie müssen jedoch bei der Auswahl der Quellwebsites vorsichtig sein. Ich persönlich empfehle ApkLink.com . Zweitens empfehle ich Ihnen, nach dem Herunterladen einer beliebigen Apk-Datei VirusTotal zu durchsuchen (um sicherzustellen, dass die heruntergeladene App sicher ist).

Yahya
quelle
0

App-Berechtigungen bieten ein gewisses Maß an Sicherheit. Während der Installation von apk kann man immer nach Berechtigungen suchen.

Wenn eine App keine Root-Berechtigung oder eine andere Berechtigung benötigt, kann sie meistens als sicher angesehen werden. Es gibt nur sehr wenig, was eine App ohne Berechtigungen tun kann. Es kann jedoch dazu führen, dass Benutzer einen böswilligen Link anzeigen und den Benutzer auf eine böswillige Website umleiten, um etwas anderes oder einige Phishing-Websites zu installieren. Wenn eine solche App nicht einmal das Internet nutzt, kann sie als sicher angesehen werden.

Mit zunehmender Berechtigungsstufe kann die App als unsicherer eingestuft werden. Es kann persönliche Daten wie Kontakte, Nachrichten, Anruflisten oder jede andere Datei in Ihrem Speicher stehlen. Natürlich ist dies nur eine Möglichkeit, nicht jede App ist bösartig.

Bharat G
quelle