Quão seguro é usar o Aptoide?

34

Como na atualização mais recente do Google Play, agora é possível ver a lista completa de permissões solicitadas por um aplicativo na instalação / atualização 1 , sinto minha privacidade invadida. Pior ainda, um aplicativo pode obter permissões adicionais com uma atualização e sem que o usuário saiba 2,3 .

Então, eu estou procurando alternativas.

TL; DR:

Sei que temos Quais são os mercados alternativos de aplicativos para Android? , mas a) é mais ou menos uma lista de outros mercados (sem fornecer antecedentes) 4 eb) nem menciona o Aptoide .

Eu não quero outro aplicativo que precise ser executado permanentemente em segundo plano para "verificar a validade da licença", para que coisas como a Amazon Appstore ou AndroidPIT sejam lançadas. O AppBrain é apenas mais um front-end para o Google Play - por mais legal que seja, não resolve o problema, pois para instalações e atualizações de aplicativos, é necessário redirecionar para o Google Play - o que estou prestes a " fugir".

Eu já fiz o check-out do F-Droid há alguns dias e sinto que é bastante adequado às minhas necessidades (siga o link para obter detalhes) - mas com apenas cerca de 1.200 aplicativos (a partir de 6/2014) ele deixa muitas lacunas.

Diz -se que o Aptoide, no outro extremo , atende a mais de 120.000 aplicativos atualmente. Como o nome sugere, ele usarepositórios no estilo APT , com os quais estou acostumado no Linux (Debian e derivados). Ele ainda permite que você tenha seu próprio repositório privado para compartilhar aplicativos entre dispositivos (ou com amigos). Todos os aplicativos são oferecidos gratuitamente, portanto, não há necessidade de um "servidor de licenças". Mas quão seguro é para o usuário final? Pesquisei no Google (e abaixei) por horas, mas não consegui encontrar nenhuma fonte sobre isso. Em vez disso, encontrei muitos links do tipo "aplicativos pagos de graça", "mercado negro" e outras coisas relacionadas à pirataria - o que definitivamente não é o que estou procurando. Estou mais do que aberto a pagar por bons aplicativos 5 , então "obtê-los de graça" não é a intenção por trás da minha pergunta. GostarF-Droid , o Aptoide possui vários repositórios - mas não consegui descobrir se existe um repositório principal "confiável", como o F-Droid .

Há informações relacionadas disponíveis na descrição do pacote (por exemplo, esta ), indicando medidas de segurança, como verificação de malware, validação de assinatura e validação de terceiros. Mas, como mostra a página da Web correspondente , essas informações parecem depender, pelo menos em parte, dos comentários do usuário (que podem ser falsificados / manipulados) ou nem sequer são apresentadas ao usuário (as informações do pacote, por exemplo, nomes de 3 scanners usados ​​para verificar, I não consegue encontrar essas informações na página da web). Embora eu possa procurar informações através de informações do pacote, não posso pedir, por exemplo, que meus pais com mais de 70 anos o façam. Por esta página , Aptoide também aponta como para ver os resultados de suas medidas de segurança, e afirma explicitamente:

A plataforma Aptoide Anti-Malware analisa aplicativos em tempo de execução e desativa possíveis ameaças em todas as lojas.

(Ênfase minha) - que sugere uma proteção contra malware comparável à do Google Play (como isso se encaixa com esses "rumores do mercado negro"? Talvez eles simplesmente não removam aplicativos ofensivos, mas apenas os marcam ?).

Então finalmente

A questão:

Existe uma maneira de usar o Aptoide com segurança como fonte de aplicativos? Se sim, como? 6 Se não, por que não?

Pontos de bônus por uma maneira "à prova de idiotas" que pode ser recomendada a usuários menos experientes.

Notas de rodapé

1 Sei que seria possível abrir apágina do aplicativona Google Play Store , rolar por ele e clicar no link correspondente quando encontrado - mas você não pode chamar isso de fácil utilização ou esperar que os usuários façam isso a cada atualização.
2 Por exemplo, na primeira instalação, solicitou o "desavisado"READ_PHONE_STATEcom a justificativa usual. Com uma atualização, ele poderia solicitarCALL_PHONE,PROCESS_OUTGOING_CALLSe outros - e o aplicativo Play não apresentaria isso, pois eles pertencem ao "mesmo grupo".
3 Para descobrir "novas permissões", era preciso comparar as da versão instalada com as da presente. Diverta-se!
4 Acabei de editar duas respostas e adicionei alguns detalhes sobre o AppBrain e o F-Droidpara preencher essas lacunas
5 Eu comprei muitos aplicativos no Google Play (ou doei diretamente para o desenvolvedor) e, por exemplo, o F-Droid possui botões de doação na página de cada aplicativo para tornar isso possível
6 Eu poderia imaginar sabendo (e restringindo seu uso para) "repositórios seguros do Aptoide" isso pode ser alcançado. Mas, como eu escrevi, não conseguia descobrir quais considerar "seguras". O artigo do Aptoide na Wikipedia sugere que há um "repositório padrão" na instalação, e mais repositórios precisam ser adicionados manualmente; portanto, pode ser que o primeiro seja seguro.

alternative-markets Izzy
fonte
Acho que uma loja de aplicativos é tão segura quanto a sua confiança para os curadores ou (no caso de uma loja de aplicativos totalmente aberta) os desenvolvedores que enviam aplicativos. IMHO, para Aptoide, eu colocaria na categoria "tão seguro quanto os desenvolvedores de aplicativos". Mas isso é porque não sei nada sobre os interesses dos curadores aqui. Espero que, mesmo que eles tenham dificultado descobrir se um desenvolvedor de aplicativos está pedindo mais do que era para uma versão anterior, o Google tem um grande interesse em não ter aplicativos maliciosos espalhados pelo ecossistema. Não tenho certeza dos motivos de Aptoid.
ctt
Obrigado pelos comentários! Quanto ao Google Play, não me preocupo muito com "aplicativos mal-intencionados" no senso comum (embora vários deles passem algum tempo no controle do Google de vez em quando também), mas sim com "coletores de dados" e o como (com o Google sendo um dos maiores). E não ter certeza sobre o Aptoid é o motivo pelo qual faço essa pergunta :) Não quero substituir um problema por outro. E quero saber com certeza o que posso recomendar aos outros.
Izzy
Ah merda, eu sinalizei isso por engano pessoal, minhas desculpas! Era uma pergunta de estouro de pilha na outra guia. Essa é a minha deixa para fazer uma pausa!
RossC
Você deixou de lado um ponto importante - o Aptoide oferece um processo de atualização de aplicativo que o notifica sobre alterações de permissão? Dada a óbvia redução de segurança ao usar uma infraestrutura descentralizada e repleta de pirataria, ela deve oferecer alguns benefícios, além de não ser o Google. Se você estiver preocupado com a coleta furtiva de dados, diria que corre mais perigo ao obter aplicativos de uma loja com aplicativos enviados em massa e não pelos desenvolvedores (e possivelmente modificados).
ProjectJourneyman
11
@ProjectJourneyman O Google Play não fornece essas dicas sobre atualização (se novas permissões forem adicionadas ao "mesmo grupo"). Com Aptoide, F-Droid e outros sendo "mercados de terceiros", eles sempre precisam chamar o "instalador de pacotes local", que mostra todas as permissões do aplicativo a ser atualizado / instalado antes de poder prosseguir com a instalação . Embora, infelizmente, não seja um "diff" para a versão atual.
Izzy

Respostas:

20

Obrigado por fazer essas perguntas. Aqui estão algumas informações sobre o Aptoide que eu espero que sejam úteis para você e a comunidade Stackexchange / Android:

  1. Malware é algo que levamos muito a sério. Atualmente, temos três sistemas diferentes para detectar malware à medida que eles chegam em qualquer loja de aplicativos Aptoide:
    • nós executamos 3 antivírus diferentes em emuladores em tempo de execução
    • temos um sistema interno de assinaturas para detectar ameaças recorrentes
    • implementamos uma cadeia de confiança baseada na assinatura do desenvolvedor
  2. A tarefa de criar um ambiente seguro para o usuário final é um alvo em movimento. Estamos trabalhando com várias universidades e centros de pesquisa e, em um artigo recente (ainda não publicado), comparamos bem com as outras lojas de aplicativos. Também propusemos um projeto de pesquisa europeu com 2 empresas de antivírus e 3 universidades / centros de pesquisa para lidar com esse tópico. Há muito trabalho a ser feito e o feedback da comunidade é importante.
  3. O F-Droid é de fato muito semelhante ao Aptoide. Eles são um fork do Aptoide e mantêm todos os conceitos que desenvolvemos, como várias lojas. Eles têm uma abordagem mais centralizada e uma assinatura central que, é claro, diferente da nossa abordagem.
  4. Na Aptoide, temos o selo "Confiável". Se você vir o carimbo Confiável em um aplicativo, temos 99,99% de certeza de que o aplicativo não contém uma ameaça para o usuário final.

Best,
Paulo Trezentos (cofundador da Aptoide)

user64756
fonte
Muito obrigado pelos seus detalhes, Paulo! Embora eu esperasse tanto, é bom ter esses detalhes em primeira mão. Há algo a ser dito sobre quais repositórios são considerados "mais seguros" / "principais" (como o central no F-Droid - que além de IMHO é o único que usa a assinatura central mencionada em 3.), a ser recomendado para o "usuário mais cauteloso" - ou todos eles são ameaçados da mesma forma? O que acontece com esses "mercados negros" aos quais o Aptoide se relaciona com tanta frequência? E o carimbo "confiável" de 4. de alguma forma está codificado no XML que mencionei (por exemplo, ser detectado automaticamente por um script)?
Izzy
Todos os detalhes ausentes foram enviados a mim por correio, paralelo à postagem de Paulo aqui. Encontre-os resumidos na minha resposta a Quais são os mercados alternativos de aplicativos para Android?
Izzy
Respeito, me convenceu
l0Ft
11
Malware is something that we take very seriously Sério? Relatei um possível problema por meio do formulário da Web e depois de uma semana nada aconteceu. Veja Aptoide-how-to-report-potencial-abuso-sem-se tornando-a-membro
k3b
9

Após a resposta de Paulo , mais algumas trocas de correspondência com ele, eu já escrevi uma descrição detalhada em minha resposta a outra pergunta - e também em um artigo em meu próprio site: Android Markets: Qual é a segurança de fontes alternativas?

Depois disso, acompanhei de perto o Aptoide desde então e ainda o faço - deixe-me adicionar mais alguns detalhes (incluindo alguns pontos já mencionados anteriormente, para o contexto):

  • O Aptoide não é uma "área única para aplicativos", como o Google Play ou a Amazon App-Store. É bastante comparável ao que o Launchpad é para o Ubuntu: todos e sua irmãzinha podem abrir seu próprio repositório aqui, que é apresentado como uma "loja" separada dos outros. Há uma pesquisa global (por aplicativos e lojas), no entanto.
  • Há apenas um repositório que é "curado manualmente" pelo próprio Aptoide, chamado " Aplicativos ". Aqui, a equipe do Aptoide decide quais aplicativos estão entrando no repositório. Aqui eu …
    • não encontrou um único "aplicativo pago pirateado", seja por dinheiro ou de graça
    • verifiquei as assinaturas de alguns aplicativos e as encontrei correspondentes às do Google Play para todas as que verifiquei
    • não se lembra de nenhum aplicativo sem o selo "confiável" (ou seja, o aplicativo tão marcado foi verificado quanto a malware com vários scanners (incluindo o próprio "segurança" do Aptoide)), as assinaturas foram verificadas para coincidir com as de outros mercados (principalmente o Google Play ) e muito mais - veja minha outra resposta já mencionada para obter detalhes sobre isso)

Portanto, minha conclusão é que é bastante seguro usar este repositório .

No entanto, também dei uma olhada em vários outros repositórios - onde você realmente pode encontrar muitos "aplicativos pirateados" (os aplicativos pagos do GPlay "de graça" sempre são um sinal disso). Nesses locais, não apenas o carimbo "confiável" estava faltando com frequência - mas, em vez disso, frequentemente encontrei o carimbo "não confiável" - o que significa que o aplicativo provavelmente estava contaminado (os detalhes diferiam; na maioria das vezes eu achava a assinatura o problema: " foi usado em outro lugar para assinar outro pacote de desenvolvedores "tem 99% de certeza de indicar um" hack ").

Resumindo: Uma resposta geral não pode ser dada aqui (isso seria responder à pergunta se "a Terra" é um lugar seguro para se viver). O quão seguro é usar o Aptoide depende muito da sua escolha do repositório. Sabe-se que um deles é organizado manualmente e, ouso dizer, tão seguro quanto o Google Play , a Amazon App Store e outros. Alguns podem ser considerados bastante seguros - especialmente se você conhece os proprietários deles, e se apega a aplicativos que mostram o escudo "confiável".

Evite que os aplicativos não recebam o escudo (atualmente verde) "confiável", especialmente fique longe dos que exibem o escudo (atualmente amarelo) "não confiável", é melhor se ater apenas ao repositório de aplicativos - e o Aptoide deve ser um local seguro para você .

Eu considero os aplicativos repositório seguro o suficiente para vinculá-lo a minhas listas de aplicativos - ao lado do F-Droid e do Google Play.

Izzy
fonte
Se "confiáveis", ou seja, aplicativos verdes são verificados usando uma assinatura do Google Play, por que é melhor usar apenas o repositório de aplicativos?
Hulkingtickets
@ hulkingtickets porque assim você não corre o risco de "acidentalmente bater em um amarelo". Todos nós temos nossos momentos em que estamos distraídos (ou "outra pessoa" está usando nosso dispositivo).
Izzy
4

O Aptoide é um site de pirataria conhecido para aplicativos Android. Se você acha que qualquer site que distribua software pirateado é seguro, você está sendo bastante otimista.

Michael A.
fonte
11
Você não deve escrever algo que não possa fazer backup por fontes. O que você escreve é ​​como dizer "O Windows sempre tem vírus", "os usuários de computadores são hackers" e assim por diante. Você já leu a resposta de user64756 ? Há um repositório com curadoria e existem "repositórios privados". O que vem ao primeiro é controlado pela equipe - o que não pode necessariamente ser dito para o último.
Izzy
3
Lixo. O Aptoide é um site pirata desde o seu início e continua a lucrar com a distribuição de software pirata. Afirmar que a equipe não pode ser responsabilizada por aquilo que habilita e lucra, é semântica na melhor das hipóteses.
Michael A.
2
O que você escreve é ​​como dizer "Piratebay não é um site de pirataria". : D
Michael A.
2
Não me faça rir. A primeira página do aptoide promove abertamente produtos pirateados. Indo "oh, mas este cantinho do site está limpo" ... sim, já ouvimos isso antes. O mesmo antigo "ah, mas sites de torrent só vinculam ao material, não podemos controlar o que é publicado".
Michael A.
2
Eu não vou discutir com você. Eu tive um contato próximo com Paulo por um tempo e observei o Aptoide há cerca de um ano. Atualmente, eles têm seu próprio repositório com quase 50.000 aplicativos, o que definitivamente é limpo - e oferecem a todos que abram e mantenham seu próprio repositório, onde não podem garantir o conteúdo. Você pode denunciar "ilk" e ele é removido - mas eles não "caçam". // Como ladrões e mafiosos usam contas bancárias, eu recomendo que você fique longe dos bancos também - pois os funcionários do banco também só checam se lhes dizem isso (desculpe, não resisti;) Não jogue o bebê fora na água do banho; )
Izzy
3

Lancei recentemente meu aplicativo Android Westward Dystopia na Google Play Store SOMENTE e, em poucos dias, ele foi oferecido no Aptoide. Quando entrei em contato com a empresa para remover o conteúdo, eles me disseram que não, a menos que eu me registrasse primeiro no serviço e abrisse uma conta com eles.

NÃO é assim que um site legítimo é executado. Eu não confiaria neles até onde poderia jogá-los. Os usuários devem ficar atentos.

regomar
fonte
Esta é a redação exata no e-mail que recebi após relatar o roubo do meu conteúdo e hospedá-lo no seu site: "Para remover o aplicativo solicitado, precisamos ter o URL exato do Aptoide onde o aplicativo está e não é suficiente para envie uma string 1.- Enviando um único URL Sugerimos que você preencha o Relatório de abuso que pode encontrar aqui: aptoide.com/report/abuse Para enviar o formulário, registre-se no mesmo desenvolvedor do Google Play e-mail e não se esqueça de ativar sua conta ".
regomar
Eu limpei os comentários aqui. Obrigado por relatar sua experiência, regomar; qualquer pessoa que queira discutir o assunto deve convidá-lo para o bate-papo de entusiastas do Android .
Matthew Leia