使用Aptoide有多安全？

与Google Play的最新更新一样，现在可以更长久地看到应用在安装/更新^1时所请求的权限的完整列表，我感到自己的隐私受到侵犯。更糟糕的是，应用程序可能会通过更新潜入其他权限，而用户却不知道^2,3。

所以我正在寻找替代方案。

TL; DR：

我知道我们已经有了哪些替代Android应用市场？，但a）或多或少是其他市场的清单（不提供背景）⁴，并且b）甚至没有提到Aptoide。

我不希望另一个必须在后台永久运行的应用程序来“检查许可证的有效性”，因此Amazon Appstore或AndroidPIT之类的事情就不存在了。AppBrain只是Google Play的另一个前端-很好，它不能解决问题，至于应用安装和更新，它只需要重定向到Google Play-我想将其“逃跑”。

几天前，我已经签出了F-Droid，觉得它很符合我的需求（请参阅链接以获取详细信息）–但是仅约1.200个应用程序（截至2014年6月6日）仍然存在太多差距。

据说另一端的 Aptoide目前可提供超过120.000个应用程序。顾名思义，它使用 APT样式存储库，我从Linux（Debian和派生服务器）就习惯了这种存储库。它甚至允许您拥有自己的私人存储库，以在设备之间（或与朋友）共享应用程序。所有应用程序都是免费提供的，因此不需要“许可证服务器”。但是对最终用户来说有多安全？我已经搜索（和躲避）了几个小时，但是找不到任何相关信息。取而代之的是，我找到了许多类型的链接，例如“免费获得付费应用程序”，“黑市”和其他面向盗版的内容，这绝对不是我所追求的。我乐于为优质应用 ⁵付费，因此请“免费获得” 这不是我的问题背后的意图。喜欢F-Droid，Aptoide有多个存储库-但是我不知道是否有像F-Droid那样的“可信任”主存储库。

软件包描述中有可用的相关信息（例如，这一信息），指示安全措施，例如恶意软件扫描，签名验证和第三方验证。但是，如相应的网页所示，此信息似乎至少部分依赖于用户反馈（可能是伪造/操纵的），甚至没有提供给用户（包装信息，例如用于检查的3个扫描仪名称，在网页上找不到此信息）。虽然我可以通过包裹信息查找信息，但是我不能要求例如我70岁以上的父母这样做。在此页面上，Aptoide还指出了如何查看其安全措施的结果，并明确指出：

Aptoide防恶意软件平台会在运行时分析应用程序，并禁用所有商店中的潜在威胁。

（强调我的意思）–这意味着可以提供与Google Play相当的恶意软件保护（这与那些“黑市谣言”并存吗？也许他们只是不删除有问题的应用程序，而只是对其进行标记？）。

所以最后

问题：

有没有一种方法可以安全地将Aptoide用作应用程序的源？如果是这样，怎么办？⁶如果没有，为什么不呢？

奖励点是“白痴证明”方式，可以向经验不足的用户推荐。

脚注

¹我知道可以打开应用程序的 Google Play商店网页，滚动浏览，然后在找到时单击相应的链接-但您不能称其为用户友好型，或者希望用户在每次更新时都这样做。
²例如，在首次安装时，它READ_PHONE_STATE以通常的理由要求“不要怀疑”。进行更新后，它可能会请求CALL_PHONE，PROCESS_OUTGOING_CALLS和其他请求-而Play应用不会显示该请求，因为它们属于“同一组”。
³要计算“新权限”，必须将已安装版本的权限与当前版本的权限进行比较。玩得开心！
⁴我刚刚编辑了两个答案，并添加了有关 AppBrain和 F-Droid的一些详细信息填补这些空白
⁵我已经在Google Play上购买了很多应用程序（或直接捐赠给开发人员），例如F-Droid在每个应用程序页面上都有捐赠按钮以实现这一目标
⁶我可以通过了解（并限制）来想象您可以使用“安全Aptoide储存库”来实现。但是正如我写的那样，我不知道该考虑哪些是“安全的”。Wikipedia上的Aptoide文章建议安装时有一个“默认存储库”，需要手动添加更多存储库。因此它可能坚持认为第一个是安全的。

感谢您提出这些问题。这是一些有关Aptoide的信息，希望对您和Stackexchange / Android社区有用：

1. 恶意软件是我们非常重视的事情。目前，我们有3种不同的系统来检测恶意软件在任何Aptoide支持的应用商店中的传播情况：
   • 我们在运行时在模拟器中运行3种不同的防病毒软件
   • 我们有一个内部签名系统来检测重复出现的威胁
   • 我们已根据开发人员的签名实施了信任链
2. 为最终用户创建安全环境的任务是一个移动的目标。我们正在与数所大学和研究中心合作，在最近的一篇文章（尚未发表）中，我们与其他应用商店进行了比较。我们还与2个反病毒公司和3个大学/研究中心一起提出了一项欧洲研究项目，以解决这个问题。有很多工作要做，社区的反馈很重要。
3. F-Droid实际上与Aptoide非常相似。它们是Aptoide的分支，并且保留了我们开发的所有概念，例如多家商店。他们有一个更集中的方法和一个中央签名，这当然与我们的方法有所不同。
4. 在Aptoide，我们有“受信任的”邮票。如果您在应用程序中看到“受信任的邮票”，我们可以确定99.99％的应用程序不对最终用户构成威胁。

最好，
Paulo Trezentos（Aptoide联合创始人）

在Paulo回答之后，与他进行了更多邮件往来，我在回答另一个问题时已经写了详细的说明-还在我自己的网站上的一篇文章中写道：Android电子市场：替代来源的安全性如何？

此后，从那时起，我一直密切关注Aptoide，并且至今仍在这样做–因此，让我添加一些其他细节（包括之前已经提及的一些要点）。

• Aptoide不是Google Play或Amazon App Store之类的“应用程序单一区域” 。它与Ubuntu的Launchpad相当：每个人和他的妹妹都可以在这里打开自己的存储库，该存储库以与其他存储库分开的“商店”的形式出现。但是，有一个全局搜索（针对应用程序和商店）。
• Aptoide本身只有一个“手动管理”的存储库，称为“ Apps ”。Aptoide团队在这里决定要进入存储库的应用程序。我在这 …
  • 找不到单个的“盗版付费应用”，无论是钱还是免费的
  • 检查了一些应用程序的签名，发现它们与我检查过的所有Google Play的签名均匹配
  • 切记没有“信任”标记的应用程序（这意味着已使用多个扫描仪（包括Aptoide自己的“保镖”）对如此标记的应用程序进行了恶意软件检查，签名已经过验证，可以与其他市场的签名相匹配（主要是Google Play）），以及更多– 有关详细信息，请参阅我已经提到的其他答案）

因此，我的结论实际上是使用此存储库非常安全。

但是，我还研究了其他几个存储库–在这些存储库中，您确实可以找到很多明显的“盗版应用程序”（从GPlay付费的应用程序“免费”总是表明这一点）。在这些地方，不仅经常丢失“受信任”的邮票，而且我经常发现“不受信任”的邮票，这意味着该应用可能已被污染（细节有所不同；大多数情况下，我发现签名是问题所在：“是在其他地方用来签署另一个开发人员软件包的代码”（99％肯定表示“黑客”）。

总结：这里不能给出一个普遍的答案（这将回答“地球”是否是一个安全的居住地的问题）。使用Aptoide的安全性在很大程度上取决于您对存储库的选择。众所周知，其中一种是手动管理的，我敢说，它像Google Play，Amazon App Store等一样安全。可以认为其中有一些是非常安全的-特别是如果您对所有者的了解如此，并坚持使用显示“受信任”盾的应用程序。

避免未为应用程序分配（当前为绿色）“受信任”的盾牌，尤其要远离那些显示（当前为黄色）“不受信任”的盾牌，最好也单独使用Apps存储库– Aptoide应该是您的安全之所。

我认为Apps存储库足够安全，可以从我的应用列表（在F-Droid和Google Play旁边）进行链接。

Aptoide是已知的Android应用程序盗版网站。如果您认为任何有意发行盗版软件的网站都是安全的，那么您会感到非常乐观。

我最近在Google Play商店上仅发布了我的Android应用程序Westward Dystopia，几天之内就发现它在Aptoide上提供。当我与公司联系以删除内容时，他们告诉我除非我先注册他们的服务并在他们那里开设一个帐户，否则他们不会这样做。

这不是运行合法站点的方式。我不会完全相信他们。用户要当心。