Wie sicher ist Aptoide?

34

Da mit dem neuesten Update für Google Play nun mehr die vollständige Liste der Berechtigungen angezeigt wird, die von einer App für Installation / Update 1 angefordert wurden , ist meine Privatsphäre verletzt. Noch schlimmer ist , könnte eine App schleicht in zusätzlichen Berechtigungen mit einem Update, und ohne dass der Benutzer weiß , 2,3 .

Also suche ich nach Alternativen.

TL; DR:

Ich weiß, wir haben Was sind die alternativen Android App-Märkte? , aber a) das ist mehr oder weniger eine Auflistung anderer Märkte (ohne Angabe von Hintergründen) 4 , und b) es erwähnt nicht einmal Aptoide .

Ich möchte nicht, dass eine andere App permanent im Hintergrund ausgeführt wird, um die Gültigkeit der Lizenz zu überprüfen. Daher sind Dinge wie der Amazon Appstore oder AndroidPIT nicht mehr verfügbar . AppBrain ist nur ein anderes Front-End zu Google Play - so schön , wie es ist, ist es nicht das Problem zu lösen, wie es für App - Installationen und Updates , es muss nur wieder direkt an Google Play - was ich bin eher über zu " fliehen".

Ich habe F-Droid bereits vor ein paar Tagen ausprobiert und finde es ziemlich passend für meine Bedürfnisse (folgen Sie dem Link für Details) - aber mit nur 1.200 Apps (Stand 6/2014) lässt es zu viele Lücken.

Aptoide am anderen Ende wird gesagt, mehr als 120.000 Apps dient zur Zeit. Wie der Name schon sagt, werdenRepositorys im APT- Stil verwendet, wie ich es von Linux (Debian und Derivaten) gewohnt bin. Sie können sogar Ihr eigenes privates Repo haben, um Apps für Geräte (oder für Freunde) freizugeben. Alle Apps werden kostenlos angeboten, so dass kein "Lizenzserver" erforderlich ist. Aber wie sicher ist es für den Endbenutzer? Ich habe stundenlang gegoogelt (und mich geduckt), konnte aber keine Quelle dafür finden. Stattdessen habe ich eine Menge Links vom Typ "Get Paid Apps for Free", "Black Market" und andere auf Piraterie ausgerichtete Dinge gefunden - das ist definitiv nicht das, wonach ich strebe. Ich bin mehr als bereit, für gute Apps 5 zu bezahlen, also "sie kostenlos zu bekommen" ist nicht die Absicht hinter meiner Frage. MögenF-Droid , Aptoide hat mehrere Repositorys - aber ich konnte nicht herausfinden, ob es ein "vertrauenswürdiges" Haupt-Repository wie bei F-Droid gibt .

In der Paketbeschreibung sind verwandte Informationen enthalten (z. B. diese ), die Sicherheitsmaßnahmen wie Malware-Scan, Signaturvalidierung und Drittanbieter-Validierung angeben. Aber wie die entsprechende Webseite zeigt, scheinen diese Informationen zumindest teilweise auf Benutzerrückmeldungen zu beruhen (die gefälscht / manipuliert werden könnten) oder werden dem Benutzer nicht einmal präsentiert (die Paketinformationen, z kann diese Information auf der Webseite nicht finden). Während ich möglicherweise in der Lage bin, Dinge über Paketinformationen nachzuschlagen, kann ich zB meine über 70-jährigen Eltern nicht bitten, dies zu tun. Auf dieser Seite weist Aptoide auch darauf hin, wie die Ergebnisse ihrer Sicherheitsmaßnahmen angezeigt werden, und gibt ausdrücklich Folgendes an:

Die Aptoide Anti-Malware-Plattform analysiert Anwendungen zur Laufzeit und deaktiviert potenzielle Bedrohungen in allen Filialen.

(Hervorhebung von mir) - , die eine Malware - Schutz vergleichbar mit der schlägt Google Play (wie geht das gehen zusammen mit den „schwarzen Markt Gerüchte“ Vielleicht nur sie nicht? Entfernen beleidigen apps, aber nur markieren sie stattdessen?).

So endlich

Die Frage:

Gibt es eine Möglichkeit, Aptoide sicher als Quelle für Apps zu verwenden? Wenn das so ist, wie? 6 Wenn nein, warum nicht?

Bonuspunkte für einen "idiotensicheren" Weg, der weniger erfahrenen Benutzern empfohlen werden könnte.

Fußnoten

1 Ich weiß, dass es möglich ist, die Google Play Store- Webseite der Appzu öffnen, einen Bildlauf durchzuführen und auf den entsprechenden Link zu klicken, wenn er gefunden wird. Sie können dies jedoch nicht als benutzerfreundlich bezeichnen oder erwarten, dass Benutzer dies bei jedem Update tun.
2 zB bei der erstmaligen Installation forderte es die "ahnungslose"READ_PHONE_STATEmit der üblichen Begründung. Mit einem Update könnte es anfordernCALL_PHONE,PROCESS_OUTGOING_CALLSund andere - und die Play-App würde dies nicht anzeigen, da sie zur "gleichen Gruppe" gehören.
3 Um "neue Berechtigungen" zu ermitteln, musste man die der installierten Version mit denen der aktuellen Version vergleichen. Habe Spaß!
4 Ich habe gerade zwei Antworten bearbeitet und einige Details zu AppBrain und F-Droid hinzugefügtdiese Lücken zu füllen
5 kaufte ich habe eine Menge von Apps auf Google Play (oder gespendet , um dem Entwickler direkt), und zB F-Droid hat Spende Tasten auf jeder App-Seite um dies möglich zu machen
6 ich durch das Wissen , sich vorstellen kann (und Beschränkung Ihre Verwendung, um) "sichere Aptoide-Repositories" dies zu erreichen. Aber wie ich schrieb, konnte ich nicht herausfinden, welche ich als "sicher" bezeichnen sollte. Der Aptoide-Artikel auf Wikipedia schlägt vor, dass es bei der Installation ein "Standard-Repo" gibt und weitere Repos manuell hinzugefügt werden müssen. es könnte also daran festhalten, dass es sicher ist.

alternative-markets Izzy
quelle
Ich denke, ein App Store ist so sicher wie Ihr Vertrauen für die Kuratoren oder (im Falle eines völlig offenen App Stores) die Entwickler, die Apps einreichen. Meiner Meinung nach würde ich Aptoide in die Kategorie "genauso sicher wie die App-Entwickler" einordnen. Aber das liegt daran, dass ich nichts über die Interessen der Kuratoren hier weiß. Ich hoffe, dass Google ein berechtigtes Interesse daran hat, dass sich bösartige Apps nicht über das gesamte Ökosystem verbreiten, auch wenn es gerade schwieriger geworden ist, herauszufinden, ob ein App-Entwickler mehr verlangt, als er für eine frühere Version vorgesehen war. Ich bin mir nicht sicher, was Aptoids Motive angeht.
ctt
Danke für die Kommentare! Was Google Play angeht, bin ich nicht so sehr besorgt um "bösartige Apps" im üblichen Sinne (obwohl einige von ihnen ab und zu auch für eine Weile unter Googles Kontrolle geraten), sondern um "Datensammler" und die wie (mit Google als einer der größten). Und nicht sicher zu sein, was Aptoid betrifft, ist der Grund, warum ich diese Frage stelle :) Ich möchte ein Problem nicht durch ein anderes ersetzen. Und ich möchte sicher wissen, was ich anderen empfehlen kann.
Izzy
Ah Mist, ich habe das versehentlich gemeldet, Jungs, meine Entschuldigung! Es war eine Stapelüberlauf-Frage auf der anderen Registerkarte. Das ist mein Stichwort, um eine Pause zu machen!
RossC
Sie haben einen wichtigen Punkt ausgelassen. Bietet Aptoide überhaupt einen App-Upgrade-Prozess an, der Sie über Berechtigungsänderungen benachrichtigt? Angesichts der offensichtlichen Abnahme der Sicherheit bei der Verwendung einer dezentralen und von Produktpiraterie geprägten Infrastruktur sollte Google einige Vorteile bieten, abgesehen davon, dass es sich nicht um Google handelt. Wenn Sie sich Sorgen über eine hinterhältige Datenerfassung machen, besteht ein höheres Risiko, wenn Sie Apps von einer Storefront abrufen, deren Apps in großen Mengen und nicht von den Entwicklern hochgeladen (und möglicherweise geändert) wurden.
ProjectJourneyman
1
@ProjectJourneyman Google Play gibt keine derartigen Hinweise zum Aktualisieren (wenn der gleichen Gruppe neue Berechtigungen hinzugefügt werden). Da Aptoide, F-Droid und andere "Drittanbieter" -Märkte sind, müssen sie immer das "lokale Paketinstallationsprogramm" aufrufen, das Ihnen alle Berechtigungen für die zu aktualisierende / zu installierende App anzeigt, bevor Sie mit der Installation fortfahren können . Allerdings leider kein "Diff" zur aktuellen Version.
Izzy

Antworten:

20

Vielen Dank, dass Sie diese Fragen aufgeworfen haben. Hier sind einige Informationen zu Aptoide, von denen ich hoffe, dass sie für Sie und die Stackexchange / Android-Community nützlich sind:

  1. Malware nehmen wir sehr ernst. Gegenwärtig gibt es drei verschiedene Systeme, die Malware erkennen, wenn sie in einem Aptoide-App-Store eingeht:
    • In Emulatoren werden zur Laufzeit 3 ​​verschiedene Antivirenprogramme ausgeführt
    • Wir verfügen über ein internes Signatursystem, um wiederkehrende Bedrohungen zu erkennen
    • Wir haben eine Vertrauenskette implementiert, die auf der Unterschrift des Entwicklers basiert
  2. Die Aufgabe, eine sichere Umgebung für den Endbenutzer zu schaffen, ist ein sich bewegendes Ziel. Wir arbeiten mit mehreren Universitäten und Forschungszentren zusammen und vergleichen uns in einem kürzlich erschienenen Artikel (noch nicht veröffentlicht) gut mit den anderen App Stores. Wir haben auch ein europäisches Forschungsprojekt mit 2 Antiviren-Unternehmen und 3 Universitäten / Forschungszentren vorgeschlagen, um dieses Thema zu behandeln. Es gibt viel zu tun und das Feedback der Community ist wichtig.
  3. F-Droid ist in der Tat sehr ähnlich zu Aptoide. Sie sind eine Gabelung von Aptoide und sie pflegen alle Konzepte, die wir entwickelt haben, wie mehrere Geschäfte. Sie haben einen zentraleren Ansatz und eine zentrale Signatur, die sich natürlich von unserem Ansatz unterscheidet.
  4. Bei Aptoide haben wir den Stempel "Trusted". Wenn Sie den Trusted-Stempel in einer App sehen, sind wir zu 99,99% sicher, dass die App keine Bedrohung für den Endbenutzer darstellt.

Mit
freundlichen Grüßen Paulo Trezentos (Mitbegründer von Aptoide)

user64756
quelle
Vielen Dank für Ihre Angaben, Paulo! Obwohl ich so viel erwartet habe, ist es gut, diese Details aus erster Hand zu haben. Gibt es etwas darüber zu sagen, welche Repositories als "sicherer" / "Haupt" eingestuft werden (wie das zentrale in F-Droid - welches IMHO das einzige ist, das die von Ihnen in 3. erwähnte zentrale Signatur verwendet), das empfohlen werden sollte? der "vorsichtigere Benutzer" - oder sind sie alle gleich bedroht? Was ist mit diesen "Schwarzmärkten", mit denen Aptoide so oft zu tun hat? Und ist der "vertrauenswürdige" Stempel von 4. irgendwie in der von mir erwähnten XML codiert (um zB von einem Skript automatisch erkannt zu werden)?
Izzy
@all Fehlende Angaben wurden mir parallel zu Paulos Beitrag hier per Post zugesandt. Finden Sie sie zusammengefasst in meiner Antwort auf Was sind die alternativen Android-App-Märkte?
Izzy
Respekt, hat mich überzeugt
10.01.16
1
Malware is something that we take very seriously "Ja wirklich?" Ich habe ein potenzielles Problem über das Webformular gemeldet und nach einer Woche ist nichts passiert. Siehe aptoide-wie-zu-melden-potenziellen-Missbrauch-ohne-Mitglied-werden
k3b
9

Nach Paulos Antwort und einigen weiteren E-Mails habe ich bereits eine ausführliche Beschreibung in meiner Antwort auf eine andere Frage sowie in einem Artikel auf meiner eigenen Website geschrieben: Android Markets: Wie sicher sind alternative Quellen?

Im Anschluss daran habe ich Aptoide seitdem genau beobachtet und mache es auch weiterhin - lassen Sie mich einige weitere Details hinzufügen (einschließlich einiger Punkte, die bereits zuvor für den Kontext erwähnt wurden):

  • Aptoide ist kein "einheitlicher Bereich für Apps" wie Google Play oder der Amazon App-Store. Es ist ziemlich vergleichbar mit dem, was Launchpad für Ubuntu ist: Jeder und seine kleine Schwester können hier ihr eigenes Repository eröffnen, das als "Geschäft" getrennt von den anderen präsentiert wird. Es gibt jedoch eine globale Suche (nach Apps und Stores).
  • Es gibt nur ein Repository namens " Apps ", das von Aptoide selbst "manuell kuratiert" wird . Hier entscheidet das Aptoide-Team, welche Apps in das Repository gelangen. Hier habe ich…
    • Ich habe keine einzige "Raubkopien-App" gefunden, sei es für Geld oder kostenlos
    • Ich habe die Signaturen einiger Apps überprüft und festgestellt, dass sie mit denen von Google Play übereinstimmen
    • Ich kann mich nicht an eine App ohne den "vertrauenswürdigen" Stempel erinnern (dh die so gekennzeichnete App wurde mit mehreren Scannern auf Malware überprüft (einschließlich Aptoides eigenen "Bouncer"). Die Signaturen wurden auf Übereinstimmung mit denen anderer Märkte überprüft (hauptsächlich Google Play) ) und mehr - siehe meine bereits erwähnte andere Antwort für Details dazu)

Mein Fazit ist also, dass es ziemlich sicher ist, dieses Repository zu verwenden .

Ich habe mir jedoch auch einige der anderen Repositories angesehen, in denen es tatsächlich viele offensichtlich "raubkopierte" Apps gibt (bezahlte Apps von GPlay "kostenlos" sind immer ein Signal dafür). An diesen Stellen fehlte nicht nur häufig der "vertrauenswürdige" Stempel - sondern ich fand häufig den "nicht vertrauenswürdigen" Stempel - was bedeutet, dass die App wahrscheinlich verunreinigt war (Details waren unterschiedlich; am häufigsten stellte ich fest, dass die Signatur das Problem war: "es wurde an anderer Stelle verwendet, um ein anderes Entwicklerpaket zu signieren "ist zu 99% sicher, dass es sich um einen" Hack "handelt).

Fazit: Eine generelle Antwort kann hier nicht gegeben werden (das wäre die Beantwortung der Frage, ob "die Erde" ein sicherer Lebensraum ist). Wie sicher es ist, Aptoide zu verwenden, hängt von Ihrer Wahl des Repositorys ab. Es ist bekannt, dass einer von Hand kuratiert wird und, wie ich zugeben darf, genauso sicher ist wie Google Play , Amazon App Store und andere. Einige können als ziemlich sicher eingestuft werden - vor allem, wenn Sie sich mit deren Besitzern auskennen und sich an Apps halten, die das "vertrauenswürdige" Schutzschild anzeigen.

Vermeiden Sie, dass Apps nicht mit dem (derzeit grünen) "vertrauenswürdigen" Schild versehen werden. Achten Sie besonders darauf, dass nicht das (derzeit gelbe) "nicht vertrauenswürdige" Schild angezeigt wird. Halten Sie sich am besten nur an das Apps- Repository - und Aptoide sollte ein sicherer Ort für Sie sein .

Ich halte das Apps- Repository für sicher genug, um es mit meinen App-Listen zu verknüpfen - neben F-Droid und Google Play.

Izzy
quelle
Wenn "vertrauenswürdig", dh grüne Apps mit einer Signatur von Google Play überprüft werden, warum ist es dann besser, sich nur an das Apps-Repository zu halten?
Hulkingtickets
@hulkingtickets, denn auf diese Weise riskieren Sie nicht, "versehentlich einen gelben zu treffen". Wir alle haben Momente, in denen wir abgelenkt sind (oder "jemand anderes" unser Gerät benutzt).
Izzy
4

Aptoide ist eine bekannte Piraterie-Site für Android-Apps. Wenn Sie der Meinung sind, dass Websites, die wissentlich Raubkopien von Software vertreiben, sicher sind, sind Sie ziemlich optimistisch.

Michael A.
quelle
1
Sie sollten nichts schreiben, das Sie nicht durch Quellen sichern können. Was Sie schreiben, ist wie zu sagen "Windows hat immer Viren", "Computerbenutzer sind Hacker" und dergleichen. Hast du mal die Antwort von user64756 gelesen ? Es gibt ein kuratiertes Repository und "private Repositorys". Was zu ersteren kommt, wird vom Personal kontrolliert - was für letztere nicht unbedingt gesagt werden kann.
Izzy
3
Müll. Aptoide ist seit seiner Gründung eine Piraten-Website und profitiert weiterhin von der Verbreitung von Raubkopien. Die Behauptung, das Personal könne nicht für das verantwortlich gemacht werden, was es ermöglicht und von dem es profitiert, ist bestenfalls semantisch.
Michael A.
2
Was Sie schreiben, ist wie zu sagen: "Piratebay ist keine Piraterie-Seite." : D
Michael A.
2
Bring mich nicht zum Lachen. Die Titelseite von Aptoide wirbt offen für Raubkopien. "Oh, aber diese kleine Ecke der Seite ist sauber" ... ja, wir haben das schon einmal gehört. Das gleiche alte "oh, aber wir Torrent-Sites verlinken nur auf das Material, wir können nicht kontrollieren, was gepostet wird".
Michael A.
2
Ich werde nicht mit dir streiten. Ich hatte eine Weile engen Kontakt mit Paulo und beobachte Aptoide seit ungefähr einem Jahr. Sie haben ihr eigenes Repo mit derzeit fast 50.000 Apps, was definitiv sauber ist - und bieten jedem an, sein eigenes Repo zu öffnen und zu pflegen, wo sie nicht für den Inhalt bürgen können. Sie können "ilk" melden, und es wird entfernt - aber sie gehen nicht selbst "auf die Jagd". // Da Diebe und Mafiosi Bankkonten benutzen, empfehle ich, dass Sie sich auch von Banken fernhalten - da die Bankangestellten auch nur prüfen, ob dies mitgeteilt wurde (sorry, ich konnte nicht widerstehen;). Werfen Sie das Baby nicht mit dem Badewasser raus. )
Izzy
3

Ich habe kürzlich meine Android-App Westward Dystopia NUR im Google Play Store veröffentlicht und innerhalb weniger Tage festgestellt, dass sie auf Aptoide angeboten wird. Als ich mich an das Unternehmen wandte, um den Inhalt zu entfernen, teilten sie mir mit, dass sie es nicht tun würden, es sei denn, ich hätte mich zuerst für ihren Dienst registriert und ein Konto bei ihnen eröffnet.

Dies ist NICHT die Art und Weise, wie eine legitime Site betrieben wird. Ich würde ihnen nicht vertrauen, so weit ich sie werfen könnte. Benutzer aufgepasst.

regomar
quelle
Dies ist der genaue Wortlaut in der E-Mail, die ich erhalten habe, nachdem ich den Diebstahl meines Inhalts gemeldet und auf Ihrer Website gehostet habe: "Um die angeforderte Anwendung zu entfernen, benötigen wir die genaue Aptoide-URL, unter der die Anwendung steht, und dies reicht nicht aus Senden Sie uns eine Zeichenfolge. 1.- Senden einer einzelnen URL Wir empfehlen Ihnen, den Missbrauchsbericht auszufüllen, den Sie hier finden: aptoide.com/report/abuse Um das Formular zu senden, registrieren Sie sich bitte bei demselben Google Play-Entwickler E-Mail und vergessen Sie nicht, Ihr Konto zu aktivieren. "
Regomar
Ich habe die Kommentare hier aufgeräumt. Vielen Dank für Ihre Erfahrung, Regomar; Jeder, der mit Ihnen darüber diskutieren möchte, sollte Sie zum Android Enthusiasts Chat einladen .
Matthew Read