Wie können wir sicher sein, dass das APK einer App, die wir von einer Website herunterladen, sicher auf unserem Android-Handy installiert werden kann?
Gibt es eine Möglichkeit zu wissen, dass die heruntergeladene Datei sicher ist? Gibt es eine App oder einen Dienst, der die APK-Datei scannt und sagt This file is safe to install
.
security
side-loading
HTTP
quelle
quelle
Antworten:
Es ist schwierig zu wissen, ob eine APK sicher ist oder nicht. Am besten laden Sie sie von vertrauenswürdigen oder seriösen Quellen (wie Google Play, Amazon usw.) herunter.
Einige (vertrauenswürdige) Entwickler stellen auch einen MD5-Hash (oder einen anderen Message-Digest-Algorithmus) für ihre APKs bereit. Nachdem Sie die APK heruntergeladen haben, überprüfen Sie, ob die APK denselben Hash hat. Wenn ja, kann man mit Sicherheit sagen, dass es nicht manipuliert wurde.
Sie können auch die für das APK / die App erforderlichen Berechtigungen überprüfen und mit gesundem Menschenverstand (oder Ihrem eigenen Urteilsvermögen / Instinkt) feststellen, ob die Installation sicher ist oder nicht.
BOTTOMLINE: Immer von vertrauenswürdigen Quellen installieren. Finger weg von raubkopierten APKs; Möglicherweise haben sie Malware.
quelle
Google hat eine Option zum Überprüfen von Apps ( Vor der Installation von Apps, die möglicherweise Schaden verursachen, nicht zulassen oder warnen ) für seitlich geladene Apps eingeführt, wenn unbekannte Quellen aktiviert sind (beide Einstellungen sind unter Einstellungen -> Sicherheit -> Geräteverwaltung verfügbar ).
Sie können auch einen Online-Virenscanner wie Virus Total verwenden , um Ihre heruntergeladene APK-Datei zu überprüfen.
Dies ist jedoch bei allen Scannerdiensten gleich: Sie sind sich nicht hundertprozentig sicher und erkennen möglicherweise nur bekannte schädliche Apps. Maßgeschneiderte Malware bleibt wahrscheinlich unentdeckt. Auch sehr neue bösartige Apps werden wahrscheinlich durchdringen, bis sie nach einiger Zeit erkannt werden.
quelle
Wenn Sie die
.apk
Dateien von unbekannten / nicht vertrauenswürdigen Quellen herunterladen , gibt es keine einfache Möglichkeit, dies zu beurteilen. Die meisten Anti-Whatever-Lösungen (Anti-Virus, Anti-Malware usw.) richten sich lediglich nach "Datenbankeinträgen" (dh sie verfügen über eine Datenbank mit bekannter Malware und prüfen, ob der Paketname übereinstimmt) oder überprüfen nur die angeforderten Berechtigungen ( und nicht, ob zB eine SMS-App nur die von Ihnen gewünschten SMS versendet). Ich habe noch nie von einem "echten" Heuristikscanner gehört, der das Verhalten einer App analysiert.Obwohl es theoretisch möglich sein könnte, dass ein "Scanner" auch eine Art Prüfsumme überprüft (wie das erwähnte MD5), könnte dies nur gegen eine "vertrauenswürdige Basis" wie z. B. einen Playstore funktionieren. Für dort nicht verfügbare Apps würde es dann scheitern (nichts zu vergleichen). Und selbst für Apps, die dort verfügbar sind, müsste es mit derselben Version abgeglichen werden. Eine solche Lösung ist kaum praktikabel.
Meine Argumente mögen sich also unterscheiden, aber mein Fazit ist fast dasselbe wie das von geff: Nur von vertrauenswürdigen Quellen installieren. Während nichts zu 100% sicher ist, birgt dies die geringstmöglichen Risiken. Das höchste Risiko besteht bei Raubkopien, da sehr wahrscheinlich "schlechte Dinge" injiziert werden.
quelle
.apk
muss der neue mit dem gleichen "Schlüssel" signiert werden, den auch der installierte verwendet, sonst schlägt das Update fehl.Sie können das Paket in eine mobile Sandbox hochladen, um zu sehen, was es tut. Die Sandboxen führen die Binärdatei aus und Sie können die Ausführungsergebnisse sehen. Dies funktioniert auch für einige ehemals unbekannte Malware, da sie sich vorher nicht in einer av-Datenbank befinden muss. Beispiele für Sandboxes sind MobileSandbox , CopperDroid , SandDroid , TraceDroid , Joe Sabdox Mobile , ForSafe und andere.
Wie immer gibt es keine 100% ige Sicherheit, aber es gibt auch keine vollständige Sicherheit beim Herunterladen aus dem Play Store ...
Virustotal, das oben erwähnt wurde, hat vor kurzem begonnen, einige Beispiele auch in einer Sandbox auszuführen, und ist natürlich immer eine gute Wahl, da es gegen eine Größenordnung von bereits bekannter Malware testet. Ein ähnlicher Dienst wie Virustotal, jedoch speziell für Android, ist AndroTotal.
quelle
Ich verwende Lookout Security, es scannt jede App, die Sie installieren, und Sie können auch APKs scannen
quelle
Heute ist es nicht mehr so schwierig, sichere Apk-Dateien zu finden. Sie müssen jedoch bei der Auswahl der Quellwebsites vorsichtig sein. Ich persönlich empfehle ApkLink.com . Zweitens empfehle ich Ihnen, nach dem Herunterladen einer beliebigen Apk-Datei VirusTotal zu durchsuchen (um sicherzustellen, dass die heruntergeladene App sicher ist).
quelle
App-Berechtigungen bieten ein gewisses Maß an Sicherheit. Während der Installation von apk kann man immer nach Berechtigungen suchen.
Wenn eine App keine Root-Berechtigung oder eine andere Berechtigung benötigt, kann sie meistens als sicher angesehen werden. Es gibt nur sehr wenig, was eine App ohne Berechtigungen tun kann. Es kann jedoch dazu führen, dass Benutzer einen böswilligen Link anzeigen und den Benutzer auf eine böswillige Website umleiten, um etwas anderes oder einige Phishing-Websites zu installieren. Wenn eine solche App nicht einmal das Internet nutzt, kann sie als sicher angesehen werden.
Mit zunehmender Berechtigungsstufe kann die App als unsicherer eingestuft werden. Es kann persönliche Daten wie Kontakte, Nachrichten, Anruflisten oder jede andere Datei in Ihrem Speicher stehlen. Natürlich ist dies nur eine Möglichkeit, nicht jede App ist bösartig.
quelle