¿Qué tan seguro es usar Aptoide?

34

Como con la última actualización de Google Play, ahora uno ya ve la lista completa de permisos solicitados por una aplicación en la instalación / actualización 1 , siento que mi privacidad ha sido invadida. Peor aún, una aplicación podría colarse en permisos adicionales con una actualización, y sin que el usuario sepa 2,3 .

Entonces estoy buscando alternativas.

TL; DR:

Sé que tenemos ¿Cuáles son los mercados alternativos de aplicaciones de Android? , pero a) es más o menos una lista de otros mercados (sin dar antecedentes) 4 , yb) ni siquiera menciona Aptoide .

No quiero otra aplicación que tiene que ejecutar en segundo plano de forma permanente a "validez de la licencia de verificación", así que cosas como la Appstore de Amazon o AndroidPIT están fuera. AppBrain es sólo otra interfaz para Google Play - tan agradable como es, no resuelve el problema, en cuanto a las instalaciones de aplicaciones y actualizaciones que acaba de volver a dirigir a Google Play - que estoy bien a punto " huir".

Ya he comprobado a cabo F-Droid hace unos días, y me siento bastante ajustada mis necesidades (siga el enlace para más detalles) - pero con casi 1.200 Aplicaciones (a partir del 6/2014) que deja demasiadas lagunas.

Aptoide en el otro extremo se dice que sirve más de 120,000 aplicaciones actualmente. Como su nombre indica, utilizarepositorios de estilo APT , a los que estoy acostumbrado desde Linux (Debian y derivados). Incluso te permite tener tu propio repositorio privado para compartir aplicaciones entre dispositivos (o con amigos). Todas las aplicaciones se ofrecen de forma gratuita, por lo que no es necesario un "servidor de licencias". Pero, ¿qué tan seguro es para el usuario final? He buscado en Google (y agachado) durante horas, pero no pude encontrar ninguna fuente sobre esto. En cambio, encontré muchos enlaces del tipo "aplicaciones gratuitas de pago", "mercado negro" y otras cosas orientadas a la piratería, que definitivamente no es lo que busco. Estoy más que dispuesto a pagar por buenas aplicaciones 5 , así que "las obtengo gratis" No es la intención detrás de mi pregunta. Me gustaF-Droid , Aptoide tiene múltiples repositorios, pero no pude averiguar si hay un repositorio principal "confiable" como con F-Droid .

Hay información relacionada disponible en la descripción del paquete (por ejemplo, esta ) que indica medidas de seguridad tales como escaneo de malware, validación de firma y validación de terceros. Pero como muestra la página web correspondiente , esta información parece depender, al menos en parte, de los comentarios de los usuarios (que podrían ser falsificados / manipulados), o ni siquiera se presenta al usuario (la información del paquete, por ejemplo, los nombres de 3 escáneres utilizados para verificar, I no puede encontrar esta información en la página web). Si bien puedo buscar cosas a través de la información del paquete, no puedo pedirles, por ejemplo, a mis padres de más de 70 años que lo hagan. En esta página , Aptoide también señala cómo ver los resultados de sus medidas de seguridad y declara explícitamente:

La plataforma Aptoide Anti-Malware analiza las aplicaciones en tiempo de ejecución y desactiva las posibles amenazas en todas las tiendas.

(El énfasis es mío), lo que sugiere una protección de malware comparable a la de Google Play (¿cómo va eso junto con esos "rumores del mercado negro"? ¿Quizás simplemente no eliminan las aplicaciones ofensivas, sino que solo las marcan en su lugar?).

Así que finalmente

La pregunta:

¿Hay alguna manera de usar Aptoide de forma segura como fuente de aplicaciones? ¿Si es así, cómo? 6 Si no, ¿por qué no?

Puntos de bonificación para una forma "a prueba de idiotas" que podría recomendarse a usuarios menos experimentados.


Notas al pie

1 Yo sé que sería posible apertura de la tienda de Google Play la página web de la aplicación, de desplazamiento a través de él, y haga clic en el enlace correspondiente al descubierto - pero no se puede llamar a ese fácil de usar, o esperar que los usuarios que hacen esto en cada actualización.
2 por ejemplo en la primera instalación que pidió al "desprevenido"READ_PHONE_STATEcon la justificación habitual. Con una actualización, podría solicitarCALL_PHONE,PROCESS_OUTGOING_CALLSy otros - y la aplicación Play no traería eso, ya que pertenecen al "mismo grupo".
3 a la figura "nuevos permisos", había que comparar los de la versión instalada con los de la actual. ¡Que te diviertas!
4 He acaba de editar dos respuestas y añadí algunos detalles sobre AppBrain y F-Droidpara llenar esos vacíos
5 que he comprado una gran cantidad de aplicaciones en Google Play (o donados a la dev directamente), y, por ejemplo F-Droid tiene botones de donación en la página de cada aplicación para que esto sea posible
6 me podría imaginar conociendo (y la restricción su uso a) esto podría lograrse "repositorios Aptoide seguras". Pero como he escrito, no pude averiguar cuáles consideran "seguros". El artículo Aptoide en Wikipedia sugiere que hay una "cesión temporal por defecto" en la instalación, y más repositorios necesitan ser agregados manualmente; por lo que podría haber quedado pegadas a la primera de ellas es seguro.

Izzy
fuente
Creo que una tienda de aplicaciones es tan segura como su confianza para los curadores o (en el caso de una tienda de aplicaciones completamente abierta) para los desarrolladores que envían aplicaciones. En mi humilde opinión, para Aptoide, lo pondría en la categoría "tan seguro como los desarrolladores de aplicaciones". Pero eso es porque no sé nada sobre los intereses de los curadores aquí. Espero que, a pesar de que simplemente hicieron que sea más difícil averiguar si un desarrollador de aplicaciones está pidiendo más de lo que estaba pidiendo para una versión anterior, Google tiene un gran interés en no tener aplicaciones maliciosas diseminadas en su ecosistema. No estoy seguro de los motivos de Aptoid.
ctt
! Gracias por los comentarios! En cuanto a Google Play, no estoy tan preocupado por las "aplicaciones maliciosas" en el sentido común (aunque varias de ellas se escapan del control de Google por un tiempo de vez en cuando también), sino más bien por los "recolectores de datos" y el Me gusta (con Google como uno de los más grandes). Y no estoy seguro acerca de Aptoid es la razón por la que hago esta pregunta :) No quiero reemplazar un problema con otro. Y quiero saber con certeza qué puedo recomendar a otros.
Izzy
¡Mierda! ¡Marqué esto por error chicos, mis disculpas! Era una pregunta de desbordamiento de pila en la otra pestaña. Esa es mi señal para tomar un descanso!
RossC
Dejaste a cabo un punto importante - no Aptoide incluso ofrecen un proceso de actualización de aplicaciones que le informa sobre los cambios de permisos? Dada la evidente disminución en la seguridad y la seguridad cuando se utiliza una infraestructura descentralizada y la piratería postrado, se debe ofrecer algunos beneficios además de ser no Google. Si le preocupa la recopilación de datos furtivos, diría que está en mayor peligro al obtener aplicaciones de una tienda con aplicaciones cargadas en masa y no por los desarrolladores (y posiblemente modificadas).
ProjectJourneyman
1
@ProjectJourneyman Google Play no da tales pistas sobre la actualización (si se agregan nuevos permisos al "mismo grupo"). Con Aptoide, F-Droid y otros como "mercados de terceros", siempre tienen que invocar el "instalador local de paquetes", que muestra todos los permisos de la aplicación que se actualizará / instalará antes de que pueda continuar con la instalación . Aunque, desafortunadamente, no es un "diff" de la versión actual.
Izzy

Respuestas:

20

Gracias por plantear estas preguntas. Aquí hay información sobre Aptoide que espero sea útil para usted y la comunidad de Stackexchange / Android:

  1. El malware es algo que nos tomamos muy en serio. Actualmente, tenemos 3 sistemas diferentes para detectar malware a medida que llegan a cualquier tienda de aplicaciones con tecnología Aptoide:
    • ejecutamos 3 antivirus diferentes en emuladores en tiempo de ejecución
    • Tenemos un sistema interno de firmas para detectar amenazas recurrentes
    • Hemos implementado una cadena de confianza basada en la firma del desarrollador
  2. La tarea de crear un entorno seguro para el usuario final es un objetivo en movimiento. Estamos trabajando con varias universidades y centros de investigación y en un artículo reciente (aún no publicado) comparamos bien con otras tiendas de aplicaciones. También propusimos un proyecto de investigación europeo con 2 compañías antivirus y 3 universidades / centros de investigación para tratar este tema. Hay mucho trabajo por hacer y la retroalimentación de la comunidad es importante.
  3. F-Droid es, de hecho, muy similar a Aptoide. Son un tenedor de Aptoide y mantienen todos los conceptos que desarrollamos, como múltiples tiendas. Tienen un enfoque más centralizado y una firma central que, por supuesto, es diferente de nuestro enfoque.
  4. En Aptoide tenemos el sello "Trusted". Si ve el sello de confianza en una aplicación, estamos 99.99% seguros de que la aplicación no contiene una amenaza para el usuario final.

Best,
Paulo Trezentos (cofundador de Aptoide)

user64756
fuente
Muchas gracias por tus detalles, Paulo! Aunque lo esperaba, es bueno tener estos detalles de primera mano. ¿Hay algo que decir sobre qué repositorios se consideran "más seguros" / "principales" (como el central en F-Droid, que además es IMHO el único que usa la firma central que mencionó en 3.), para recomendar el "usuario más cauteloso", ¿o son todos tratados de manera similar? ¿Qué pasa con esos "mercados negros" con los que Aptoide se relaciona tan a menudo? ¿Y el sello "confiable" de 4. está codificado de alguna manera en el XML que he mencionado (para ser detectado automáticamente por un script)?
Izzy
@todos los detalles que faltan me han sido enviados por correo, paralelos a la publicación de Paulo aquí. Encuéntrelos resumidos en mi respuesta a ¿Cuáles son los mercados alternativos de aplicaciones de Android?
Izzy
Respeto, me convenció
l0Ft
1
Malware is something that we take very seriously De Verdad? Informé un problema potencial a través de su formulario web y después de una semana no pasó nada. Vea aptoide-cómo-informar-abuso-potencial-sin-convertirse-en-miembro
k3b
9

Después de la respuesta de Paulo , algunos intercambios de correo más con él, ya escribí una descripción detallada en mi respuesta a otra pregunta , y también en un artículo en mi propio sitio: Android Markets: ¿Qué tan seguras son las fuentes alternativas?

Después de eso, mantuve una estrecha vigilancia sobre Aptoide desde entonces, y aún lo hago, así que permítanme agregar algunos detalles más (incluidos algunos puntos ya mencionados anteriormente, por contexto):

  • Aptoide no es un "área única para aplicaciones" como Google Play o la tienda de aplicaciones de Amazon. Es bastante comparable a lo que Launchpad es para Ubuntu: todos y su hermana pequeña pueden abrir su propio repositorio aquí, que se presenta como una "tienda" separada de los demás. Sin embargo, hay una búsqueda global (para aplicaciones y tiendas).
  • Solo hay un repositorio que es "curado manualmente" por el propio Aptoide, llamado " Aplicaciones ". Aquí el equipo de Aptoide decide qué aplicaciones están ingresando al repositorio. Aquí yo …
    • no encontró una sola "aplicación paga pirata", ya sea por dinero o gratis
    • revisé las firmas de algunas aplicaciones y las encontré coincidiendo con las de Google Play para todo lo que revisé
    • no recuerdo ninguna aplicación sin el sello "confiable" (lo que significa que la aplicación tan marcada ha sido verificada por malware con múltiples escáneres (incluido el propio "gorila" de Aptoide), se han verificado las firmas para que coincidan con las de otros mercados (principalmente Google Play ), y más: vea mi otra respuesta ya mencionada para obtener detalles sobre esto)

Así que mi conclusión es, de hecho, es bastante seguro de usar este repositorio .

Sin embargo, también he echado un vistazo a varios de los otros repositorios - en la que de hecho puede encontrar gran cantidad de "software pirateado" Obviamente (aplicaciones pagados desde GPlay "gratis" son siempre una señal para eso). En esos lugares, no sólo fue la "confianza" sello de falta a menudo - pero en su lugar se encuentra con frecuencia el sello "no confiable" - lo que significa que la aplicación fue probablemente contaminado (detalles difería; más a menudo me encontré con la firma para ser el tema: "se se utilizó en otra parte para firmar otra desarrolladores paquete" es 99% seguro para indicar un 'hack').


Resumió: Una respuesta general no se puede dar aquí (que sería responder a la pregunta de si "la Tierra" es un lugar seguro para vivir). ¿Qué tan seguro es usar Aptoide depende casi en su elección del repositorio. Uno es conocido para ser curada de forma manual y, me atrevo a decir, tan seguro como Google Play , App Store de Amazon , y otros. Algunos puede ser asumido como bastante seguro - especialmente si usted sabe lo que alrededor de sus propietarios, y se adhieren a aplicaciones que muestran la "confianza" escudo.

Evite que a las aplicaciones no se les asigne el escudo "de confianza" (actualmente verde), especialmente manténgase alejado de las que muestran el escudo "no confiable" (actualmente amarillo), es mejor que se adhiera solo al repositorio de aplicaciones , y Aptoide debería ser un lugar seguro para usted .

Considero que la Aplicaciones suficientemente seguro como repositorio para vincularlo a mis listas de aplicaciones - próximos a F-Droid y Google Play.

Izzy
fuente
Si es "confiable", es decir, las aplicaciones ecológicas se verifican con una firma de Google Play, ¿por qué es mejor quedarse solo en el repositorio de aplicaciones?
hulkingtickets
@hulkingtickets porque de esa manera no corres el riesgo de "golpear accidentalmente uno amarillo". Todos tenemos nuestros momentos en los que estamos distraídos (o "alguien más" está usando nuestro dispositivo).
Izzy
4

Aptoide es un conocido sitio de piratería para aplicaciones de Android. Si cree que cualquier sitio que distribuye software pirateado a sabiendas es seguro, está siendo bastante optimista.

Michael A.
fuente
1
No debe escribir algo que no pueda respaldar por fuentes. Lo que escribes es como decir "Windows siempre tiene virus", "los usuarios de computadoras son hackers", y cosas por el estilo. ¿Has leído la respuesta de user64756 ? Hay un repositorio curado, y hay "repositorios privados". Lo que viene a lo primero es controlado por el personal, que no necesariamente puede decirse por lo segundo.
Izzy
3
Basura. Aptoide ha sido un sitio pirata desde su inicio, y continúa beneficiándose de la distribución de software pirateado. Afirmar que el personal no puede ser considerado responsable de lo que permite y de lo que se beneficia es, en el mejor de los casos, semántico.
Michael A.
2
Lo que escribes es como decir "Piratebay no es un sitio de piratería". : D
Michael A.
2
No me hagas reír. La portada de aptoide promueve abiertamente productos pirateados. "Oh, pero este pequeño rincón del sitio está limpio" ... sí, ya lo hemos escuchado antes. El mismo viejo "oh, pero los sitios de torrents solo enlazan con el material, no podemos controlar lo que se publica".
Michael A.
2
No discutiré contigo. Tuve un contacto cercano con Paulo por un tiempo, y he observado Aptoide durante aproximadamente un año. Actualmente tienen su propio repositorio con casi 50,000 aplicaciones, lo que definitivamente es limpio, y ofrecen a todos abrir y mantener su propio repositorio, donde no pueden responder por el contenido. Puede informar "ilk", y se elimina, pero no "cazan" ellos mismos. // Como los ladrones y los mafiosos usan cuentas bancarias, les recomiendo que también se mantengan alejados de los bancos, ya que los empleados bancarios también solo verifican si se lo dicen (lo siento, no pudieron resistirme); no tire al bebé con el agua del baño; )
Izzy
3

Recientemente lancé mi aplicación para Android Westward Dystopia SOLAMENTE en la tienda Google Play y en pocos días encontré que se ofrecía en Aptoide. Cuando me puse en contacto con la compañía para eliminar el contenido, me dijeron que no lo harían a menos que me registrara primero para su servicio y abriera una cuenta con ellos.

Esta NO es la forma en que se ejecuta un sitio legítimo. No confiaría en ellos tanto como pudiera arrojarlos. Los usuarios tengan cuidado.

regomar
fuente
Esta es la redacción exacta en el correo electrónico que recibí después de denunciar el robo de mi contenido y alojarlo en su sitio: "Para eliminar la aplicación solicitada, necesitamos tener la URL exacta de Aptoide donde se encuentra la aplicación y no es suficiente para envíenos una cadena 1.- Enviar una única URL Luego le sugerimos que complete el Informe de abuso que puede encontrar aquí: aptoide.com/report/abuse Para enviar el formulario, regístrese con el mismo desarrollador de Google Play correo electrónico y no olvides activar tu cuenta ".
regomar
He limpiado los comentarios aquí. Gracias por relatar tu experiencia, regomar; cualquier persona que desee discutirlo con usted debe invitarlo al chat de entusiastas de Android .
Mateo leyó el