使用Aptoide有多安全?


34

Google Play的最新更新一样,现在可以更长久地看到应用在安装/更新1时所请求的权限的完整列表,我感到自己的隐私受到侵犯。更糟糕的是,应用程序可能会通过更新潜入其他权限,而用户却不知道2,3

所以我正在寻找替代方案。

TL; DR:

我知道我们已经有了哪些替代Android应用市场?,但a)或多或少是其他市场的清单(不提供背景)4,并且b)甚至没有提到Aptoide

我不希望另一个必须在后台永久运行的应用程序来“检查许可证的有效性”,因此Amazon AppstoreAndroidPIT之类的事情就不存在了。AppBrain只是Google Play的另一个前端-很好,它不能解决问题,至于应用安装和更新,它只需要重定向到Google Play-我想将其“逃跑”。

几天前,我已经签出了F-Droid,觉得它很符合我的需求(请参阅链接以获取详细信息)–但是仅约1.200个应用程序(截至2014年6月6日)仍然存在太多差距。

据说另一端的 Aptoide目前可提供超过120.000个应用程序。顾名思义,它使用 APT样式存储库,我从Linux(Debian和派生服务器)就习惯了这种存储库。它甚至允许您拥有自己的私人存储库,以在设备之间(或与朋友)共享应用程序。所有应用程序都是免费提供的,因此不需要“许可证服务器”。但是对最终用户来说有多安全?我已经搜索(和躲避)了几个小时,但是找不到任何相关信息。取而代之的是,我找到了许多类型的链接,例如“免费获得付费应用程序”,“黑市”和其他面向盗版的内容,这绝对不是我所追求的。我乐于为优质应用 5付费,因此请“免费获得” 这不是我的问题背后的意图。喜欢F-DroidAptoide有多个存储库-但是我不知道是否有像F-Droid那样的“可信任”主存储库。

软件包描述中有可用的相关信息(例如,这一信息),指示安全措施,例如恶意软件扫描,签名验证和第三方验证。但是,如相应的网页所示,此信息似乎至少部分依赖于用户反馈(可能是伪造/操纵的),甚至没有提供给用户(包装信息,例如用于检查的3个扫描仪名称,在网页上找不到此信息)。虽然我可以通过包裹信息查找信息,但是我不能要求例如我70岁以上的父母这样做。在此页面上Aptoide还指出了如何查看其安全措施的结果,并明确指出:

Aptoide防恶意软件平台会在运行时分析应用程序,并禁用所有商店中的潜在威胁

(强调我的意思)–这意味着可以提供与Google Play相当的恶意软件保护(这与那些“黑市谣言”并存吗?也许他们只是不删除有问题的应用程序,而只是对其进行标记?)。

所以最后

问题:

有没有一种方法可以安全地将Aptoide用作应用程序的源?如果是这样,怎么办?6如果没有,为什么不呢?

奖励点是“白痴证明”方式,可以向经验不足的用户推荐。


脚注

1我知道可以打开应用程序的 Google Play商店网页,滚动浏览,然后在找到时单击相应的链接-但您不能称其为用户友好型,或者希望用户在每次更新时都这样做。
2例如,在首次安装时,它READ_PHONE_STATE以通常的理由要求“不要怀疑”。进行更新后,它可能会请求CALL_PHONEPROCESS_OUTGOING_CALLS和其他请求-而Play应用不会显示该请求,因为它们属于“同一组”。
3要计算“新权限”,必须将已安装版本的权限与当前版本的权限进行比较。玩得开心!
4我刚刚编辑了两个答案,并添加了有关 AppBrain F-Droid的一些详细信息填补这些空白
5我已经在Google Play上购买了很多应用程序(或直接捐赠给开发人员),例如F-Droid在每个应用程序页面上都有捐赠按钮以实现这一目标
6我可以通过了解(并限制)来想象您可以使用“安全Aptoide储存库”来实现。但是正如我写的那样,我不知道该考虑哪些是“安全的”。Wikipedia上Aptoide文章建议安装时有一个“默认存储库”,需要手动添加更多存储库。因此它可能坚持认为第一个是安全的。


我认为应用商店与您对策展人或提交应用的开发人员(对于完全开放的应用商店)的信任一样安全。恕我直言,对于Aptoide,我将其归类为“与应用开发者一样安全”。但这是因为我对策展人的兴趣一无所知。我希望,即使他们只是更难弄清某个应用程序开发人员是否要求比以前的版本更高的要求,但Google对于避免恶意应用程序在其整个生态系统中传播产生了既得利益。不确定Aptoid的动机。
ctt

感谢您的评论!至于Google Play,我对一般意义上的“恶意应用”并不那么在意(尽管其中有些偶尔会偶尔通过Google的控制),而对于“数据收集器”和一样(Google是最大的公司之一)。而且我不确定这个问题的原因是我问这个问题:)我不想用另一个问题代替问题。而且我想确定我可以推荐其他人。
伊兹

啊,废话,我误以为是伙计们,我的天哪!这是另一个选项卡中的堆栈溢出问题。这是我休息的提示!
RossC 2014年

您遗漏了一个重要的观点-Aptoide甚至提供了一个应用程序升级过程来通知您权限更改吗?考虑到使用分散且盗版猖infrastructure的基础架构时安全性和安全性明显下降,除了不是Google之外,它还应提供一些好处。如果您担心偷偷摸摸的数据收集,我想说当您从店面获取具有成批上传的应用程序,而不是由开发人员(并可能经过修改)上传的应用程序时,您处于更大的危险中。
ProjectJourneyman

1
@ProjectJourneyman Google Play不会提供有关更新的提示(如果将新权限添加到“同一组”中)。由于Aptoide,F-Droid和其他处于“第三方市场”的市场,他们总是必须调用“本地软件包安装程序”,该文件会向您显示要更新/安装的应用程序的所有权限,然后才能继续安装。但是,不幸的是,与当前版本不是“差异”。
伊齐

Answers:


20

感谢您提出这些问题。这是一些有关Aptoide的信息,希望对您和Stackexchange / Android社区有用:

  1. 恶意软件是我们非常重视的事情。目前,我们有3种不同的系统来检测恶意软件在任何Aptoide支持的应用商店中的传播情况:
    • 我们在运行时在模拟器中运行3种不同的防病毒软件
    • 我们有一个内部签名系统来检测重复出现的威胁
    • 我们已根据开发人员的签名实施了信任链
  2. 为最终用户创建安全环境的任务是一个移动的目标。我们正在与数所大学和研究中心合作,在最近的一篇文章(尚未发表)中,我们与其他应用商店进行了比较。我们还与2个反病毒公司和3个大学/研究中心一起提出了一项欧洲研究项目,以解决这个问题。有很多工作要做,社区的反馈很重要。
  3. F-Droid实际上与Aptoide非常相似。它们是Aptoide的分支,并且保留了我们开发的所有概念,例如多家商店。他们有一个更集中的方法和一个中央签名,这当然与我们的方法有所不同。
  4. 在Aptoide,我们有“受信任的”邮票。如果您在应用程序中看到“受信任的邮票”,我们可以确定99.99%的应用程序不对最终用户构成威胁。

最好,
Paulo Trezentos(Aptoide联合创始人)


Paulo,非常感谢您的详细信息!尽管我期望如此高,但第一手掌握这些细节还是不错的。关于哪些存储库被视为“更安全” /“主要”(关于F-Droid的中央存储库–除了IMHO唯一使用您在3中提到的中央签名的存储库之外),还有什么要说的吗? “更加谨慎的用户” –还是他们都受到类似的威胁?那些经常与Aptoide相关的“黑市”呢?并以某种方式在我提到的XML中编码了“ 4”的“可信”戳记(例如,由脚本自动检测到)吗?
伊兹

@all缺少的详细信息已通过邮件发送给我,与Paulo在此处的帖子类似。在哪些替代Android应用程序市场有一个
伊齐

尊重,说服我
l0Ft

1
Malware is something that we take very seriously 真?我通过他们的网络表单报告了一个潜在的问题,一周后没有任何反应。请参阅aptoide如何报告潜在的滥用情况而无需成为一名成员
k3b

9

Paulo回答之后,与他进行了更多邮件往来,我在回答另一个问题时已经写了详细的说明-还在我自己的网站上的一篇文章中写道:Android电子市场:替代来源的安全性如何?

此后,从那时起,我一直密切关注Aptoide,并且至今仍在这样做–因此,让我添加一些其他细节(包括之前已经提及的一些要点)。

  • Aptoide不是Google Play或Amazon App Store之类的“应用程序单一区域” 。它与Ubuntu的Launchpad相当:每个人和他的妹妹都可以在这里打开自己的存储库,该存储库以与其他存储库分开的“商店”的形式出现。但是,有一个全局搜索(针对应用程序和商店)。
  • Aptoide本身只有一个“手动管理”的存储库,称为“ Apps ”。Aptoide团队在这里决定要进入存储库的应用程序。我在这 …
    • 找不到单个的“盗版付费应用”,无论是钱还是免费的
    • 检查了一些应用程序的签名,发现它们与我检查过的所有Google Play的签名均匹配
    • 切记没有“信任”标记的应用程序(这意味着已使用多个扫描仪(包括Aptoide自己的“保镖”)对如此标记的应用程序进行了恶意软件检查,签名已经过验证,可以与其他市场的签名相匹配(主要是Google Play)),以及更多– 有关详细信息,请参阅我已经提到的其他答案

因此,我的结论实际上是使用此存储库非常安全。

但是,我还研究了其他几个存储库–在这些存储库中,您确实可以找到很多明显的“盗版应用程序”(从GPlay付费的应用程序“免费”总是表明这一点)。在这些地方,不仅经常丢失“受信任”的邮票,而且我经常发现“不受信任”的邮票,这意味着该应用可能已被污染(细节有所不同;大多数情况下,我发现签名是问题所在:“是在其他地方用来签署另一个开发人员软件包的代码”(99%肯定表示“黑客”)。


总结:这里不能给出一个普遍的答案(这将回答“地球”是否是一个安全的居住地的问题)。使用Aptoide的安全性在很大程度上取决于您对存储库的选择。众所周知,其中一种是手动管理的,我敢说,它像Google PlayAmazon App Store等一样安全。可以认为其中有一些是非常安全的-特别是如果您对所有者的了解如此,并坚持使用显示“受信任”盾的应用程序。

避免未为应用程序分配(当前为绿色)“受信任”的盾牌,尤其要远离那些显示(当前为黄色)“不受信任”的盾牌,最好也单独使用Apps存储库– Aptoide应该是您的安全之所。

我认为Apps存储库足够安全,可以从我的应用列表(在F-Droid和Google Play旁边)进行链接。


如果使用Google Play的签名对“可信任”(即绿色应用)进行了验证,那么为什么最好只坚持使用Apps存储库呢?
hulkingtickets

@hulkingtickets,因为那样您就不必冒“意外击中黄色”的风险。我们都有分散我们注意力的时刻(或者“其他人”正在使用我们的设备)。
伊兹

4

Aptoide是已知的Android应用程序盗版网站。如果您认为任何有意发行盗版软件的网站都是安全的,那么您会感到非常乐观。


1
您不应编写无法通过源备份的内容。您所写的内容就像是说“ Windows总是有病毒”,“计算机用户是黑客”等等。您甚至还阅读了user64756的答案吗?有一个精选的存储库,并且有“私有存储库”。前者是由员工控制的-后者不一定可以说。
伊齐

3
垃圾。自成立以来,Aptoide一直是一个盗版网站,并且继续从分发盗版软件中获利。声称员工不能为其启用的功能和从中获利承担责任,这是最好的语义。
Michael A.

2
您写的内容就像在说“ Piratebay不是盗版网站”。:D
Michael A.

2
不要让我笑。aptoide的首页公开宣传盗版产品。会说“哦,但是该站点的这个小角落很干净”……是的,我们以前听说过那个。同样的“哦,但是我们的洪流站点仅链接到该材料,我们无法控制发布的内容”。
Michael A.

2
我不会和你争论。我与Paulo保持了一段时间的密切联系,并且我已经观察到Aptoide大约一年了。他们目前拥有自己的存储库,其中有将近50.000个应用程序,这些应用程序绝对是干净的-并提供所有人打开和维护自己的存储库的权限,他们无法在其中担保内容。您可以报告“ ilk”,它会被删除-但是他们自己不会“去狩猎”。//由于小偷和黑手党成员使用银行帐户,因此我建议您也不要使用银行帐户-因为银行职员也只会检查是否被告知(对不起,无法抗拒;)不要把婴儿和洗澡水一起扔出去; )
Izzy

3

我最近在Google Play商店上仅发布了我的Android应用程序Westward Dystopia,几天之内就发现它在Aptoide上提供。当我与公司联系以删除内容时,他们告诉我除非我先注册他们的服务并在他们那里开设一个帐户,否则他们不会这样做。

这不是运行合法站点的方式。我不会完全相信他们。用户要当心。


报告您的内容被盗并在您的网站上托管后,这是我收到的电子邮件中的确切措词:“要删除所请求的应用程序,我们需要在应用程序所在的位置具有确切的Aptoide URL,但不足以请给我们发送一个字符串。1.-提交一个URL,然后建议您填写可在此处找到的滥用报告:aptoide.com/report/abuse要提交表单,请向同一Google Play开发者的注册电子邮件,别忘了激活您的帐户。”
regomar 2015年

我已经整理了这里的评论。感谢您提供经验,regomar;希望与您讨论此问题的任何人都应邀请您参加Android爱好者聊天
马修(Matthew)
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.