如何知道侧面加载的应用程序是否安全？

我们如何确保从网站上下载的应用的APK安全安装在我们的Android手机上？

有没有办法知道下载的文件是安全的？是否有可以扫描APK文件并提示的应用程序或服务This file is safe to install。

很难知道APK是否安全。最好的选择是从受信任或信誉良好的来源（例如Google Play，Amazon等）下载。

一些（受信任的）开发人员还提供其APK的MD5（或其他消息摘要算法）哈希。下载APK之后，请确认APK是否具有相同的哈希值。如果确实如此，那么可以肯定地说它没有被篡改。

您还可以检查APK /应用所需的权限，并使用常识（或您自己的判断/本能）来判断安装是否安全。

BOTTOMLINE：始终从受信任的来源安装。远离盗版APK；他们可能感染了恶意软件。

Google 启用了未知来源（设置均在“设置” ->“ 安全性” ->“ 设备管理”中提供了两项设置）后，为侧面加载的应用程序引入了一个验证应用程序选项（在安装可能会造成危害的应用程序之前禁止或警告）。

您还可以使用在线病毒扫描程序（如Virus Total）来检查下载的.apk文件。

但这对所有扫描程序服务都是相同的：它们不是100％可靠，可能仅检测已知的恶意应用程序。量身定制的恶意软件可能仍不会被发现。同样，非常新的恶意应用程序可能会漏掉，直到一段时间后将其检测到。

如果.apk要从未知/不受信任的来源下载文件，则没有简单的判断方法。大多数反恶意软件解决方案（反病毒，反恶意软件等）都仅通过“数据库条目”（即它们具有已知恶意软件的数据库，并检查程序包名称是否匹配）或仅检查请求的权限（而不是例如SMS应用程序是否仅发送您希望的SMS）。我从未听说过“真正的”启发式扫描仪可以分析应用程序的行为。

尽管从理论上讲，“扫描程序”也可以验证一种校验和（如所提到的MD5），但这只能与Playstore等“受信任的基础”一起使用。对于那里不可用的应用程序，它将失败（无法比较）。即使对于那里可用的应用程序，也需要检查相同的版本。这种解决方案几乎是不实际的。

因此，尽管我的论点可能有所不同，但我的底线几乎与geff相同：仅从受信任的源进行安装。虽然没有什么是100％安全的，但这却带来了最小的风险。盗版物品的风险最高，因为很可能注入了“坏东西”。

您可以将软件包上载到移动沙箱以查看其运行情况。沙箱将执行二进制文件，您可以看到执行结果。这也适用于某些以前未知的恶意软件，因为它以前不必存在于某些AV数据库中。对于沙箱的例子是MobileSandbox，CopperDroid，SandDroid，TraceDroid，乔Sabdox移动，赋安等。

与往常一样，没有100％的安全性，但是再次重申，从Play商店下载时也没有完全的安全性...

上面提到的Virustotal最近也开始在沙箱中运行一些示例，并且由于它针对大量已知的恶意软件进行了测试，因此当然总是一个不错的选择。与Virustotal类似但专门针对Android的服务是AndroTotal。

我使用Lookout Security，它会扫描您安装的每个应用，也可以扫描APK

现在，找到安全的Apk文件并不难。但是，在选择源站点时必须小心。我个人推荐ApkLink.com。其次，从任何地方下载任何apk之后，我建议您扫描VirusTotal（以确保下载的应用程序安全可靠）。

应用权限确实提供了一定程度的安全性。在安装APK时，您始终可以检查权限。

当应用程序不需要root权限或任何其他权限时，通常可以认为它是安全的。没有权限，只有很少的应用程序可以做。但是，它可以欺骗用户显示恶意链接，并将用户重定向到某个恶意网站，以安装其他内容或某些网络钓鱼网站。如果这样的应用程序甚至不使用互联网，则可以认为它是安全的。

随着权限级别的提高，可以更怀疑该应用程序不安全。它可以窃取联系人，消息，通话记录或存储中的任何文件等个人数据。当然，这只是一种可能，并非每个应用程序都是恶意的。