Quanto è sicuro usare Aptoide?

Come con l'ultimo aggiornamento di Google Play, uno ora vede più l'elenco completo delle autorizzazioni richieste da un'app su installazione / aggiornamento ¹ , ritengo che la mia privacy sia invasa. Ancora peggio, un'app potrebbe intrufolarsi in ulteriori permessi con un aggiornamento e senza che l'utente lo sappia ^2,3 .

Quindi sto cercando alternative.

TL; DR:

So che abbiamo Quali sono i mercati di app Android alternativi? , ma a) è più o meno un elenco di altri mercati (senza fornire sfondi) ⁴ , e b) non sta nemmeno citando Aptoide .

Non voglio un'altra app che deve essere eseguita in background in modo permanente per "verificare la validità della licenza", quindi cose come Amazon Appstore o AndroidPIT sono fuori. AppBrain è solo un altro front-end di Google Play : per quanto bello sia, non risolve il problema, poiché per le installazioni e gli aggiornamenti delle app deve solo reindirizzare a Google Play , cosa che sto per " fuggire".

Ho già provato F-Droid qualche giorno fa e mi sembra abbastanza adatto alle mie esigenze (segui il link per i dettagli) - ma con solo circa 1.200 app (al 6/2014) lascia troppe lacune.

Si dice che Aptoide dall'altra parte serva attualmente oltre 120.000 app . Come suggerisce il nome, utilizzarepository APT , a cui sono abituato da Linux (Debian e derivati). Ti consente persino di avere il tuo repository privato per condividere app tra dispositivi (o con amici). Tutte le app sono offerte gratuitamente, quindi non è necessario un "server delle licenze". Ma quanto è sicuro per l'utente finale? Ho cercato su Google (e schivato) per ore, ma non ho trovato alcuna fonte su questo. Invece ho trovato molti link del tipo "ricevi app gratuite", "mercato nero" e altre cose orientate alla pirateria - che sicuramente non è ciò che sto cercando. Sono più che aperto a pagare per buone app ⁵ , quindi "ottenerle gratuitamente" non è l'intenzione alla base della mia domanda. PiaceF-Droid , Aptoide ha diversi repository, ma non sono riuscito a capire se esiste un repository principale "affidabile" come con F-Droid .

Nella descrizione del pacchetto sono disponibili informazioni correlate (ad esempio, questo ) che indicano misure di sicurezza come scansione del malware, convalida della firma e convalida di terze parti. Ma come mostra la pagina web corrispondente , queste informazioni sembrano basarsi almeno in parte sul feedback degli utenti (che potrebbe essere simulato / manipolato), o non sono nemmeno presentate all'utente (le informazioni sul pacchetto, ad esempio nomi 3 scanner usati per controllare, I non è possibile trovare queste informazioni sulla pagina Web). Mentre potrei essere in grado di cercare le informazioni tramite le informazioni sul pacchetto, non posso chiedere ad esempio ai miei genitori di oltre 70 anni di farlo. In questa pagina , Aptoide indica anche come vedere i risultati delle loro misure di sicurezza e afferma esplicitamente:

La piattaforma Aptoide Anti-Malware analizza le applicazioni in fase di esecuzione e disabilita le potenziali minacce in tutti i negozi.

(Enfasi mia) - che suggerisce una protezione antimalware paragonabile a quella di Google Play (come va insieme a quelle "voci sul mercato nero"? Forse non rimuovono solo le app offensive, ma le segnano solo ?).

Quindi finalmente

La domanda:

Esiste un modo per utilizzare Aptoide in modo sicuro come sorgente per le app? Se é cosi, come? ^{6 In} caso contrario, perché no?

Punti bonus per un modo "a prova di idiota" che potrebbe essere raccomandato agli utenti meno esperti.

Le note

¹ So che sarebbe possibile aprire lapagina Webdel Google Play Store dell'app, scorrere attraverso di essa e fare clic sul collegamento corrispondente una volta trovato, ma non puoi chiamarlo user-friendly o aspettarti che gli utenti lo facciano ad ogni aggiornamento.
² ad es. Alla prima installazione ha richiesto "ignari"READ_PHONE_STATEcon la solita giustificazione. Con un aggiornamento, potrebbe richiedereCALL_PHONE,PROCESS_OUTGOING_CALLSe altri - e l'app Play non lo farebbe apparire, poiché appartengono allo "stesso gruppo".
³ Per capire "nuovi permessi", si è dovuto confrontare quelli della versione installata con quelli della presente. Divertiti!
⁴ Ho appena modificato due risposte e aggiunto alcuni dettagli su AppBrain e F-Droidper colmare queste lacune
⁵ Ho acquistato molte app su Google Play (o ho donato direttamente allo sviluppatore), ad esempio F-Droid ha pulsanti di donazione sulla pagina di ciascuna app per renderlo possibile
⁶ Potrei immaginare conoscendo (e limitando il tuo uso per) "repository sicuri di Aptoide" questo potrebbe essere raggiunto. Ma come ho scritto, non sono riuscito a capire quali considerare "sicuri". L' articolo di Aptoide su Wikipedia suggerisce che esiste un "repository predefinito" all'installazione e che è necessario aggiungere manualmente altri repository; quindi potrebbe essere fedele a quello primo è al sicuro.

Grazie per aver sollevato queste domande. Ecco alcune informazioni su Aptoide che spero siano utili per te e per la comunità Stackexchange / Android:

1. Il malware è qualcosa che prendiamo molto sul serio. Al momento disponiamo di 3 diversi sistemi per rilevare i malware che arrivano in qualsiasi app store basato su Aptoide:
   • eseguiamo 3 diversi antivirus negli emulatori in fase di esecuzione
   • abbiamo un sistema interno di firme per rilevare minacce ricorrenti
   • abbiamo implementato una catena di fiducia basata sulla firma dello sviluppatore
2. Il compito di creare un ambiente sicuro per l'utente finale è un obiettivo mobile. Stiamo lavorando con diverse università e centri di ricerca e in un recente articolo (non ancora pubblicato) ci confrontiamo bene con gli altri app store. Abbiamo anche proposto un progetto di ricerca europeo con 2 società antivirus e 3 università / centri di ricerca per affrontare questo argomento. C'è molto lavoro da fare e il feedback della comunità è importante.
3. F-Droid è in effetti molto simile ad Aptoide. Sono un fork di Aptoide e mantengono tutti i concetti che abbiamo sviluppato, come più negozi. Hanno un approccio più centralizzato e una firma centrale che, se ovviamente diversa dal nostro approccio.
4. In Aptoide abbiamo il timbro "Trusted". Se vedi il timbro attendibile in un'app, siamo sicuri al 99,99% che l'app non contiene una minaccia per l'utente finale.

I migliori,
Paulo Trezentos (cofondatore di Aptoide)

Dopo la risposta di Paulo , alcuni altri scambi di posta con lui, ho già scritto una descrizione dettagliata nella mia risposta a un'altra domanda - e anche in un articolo sul mio sito: Mercati Android: quanto sono sicure le fonti alternative?

In seguito, da allora ho tenuto d'occhio da vicino Aptoide, e lo faccio ancora - quindi lasciatemi aggiungere qualche dettaglio in più (inclusi alcuni punti già menzionati prima, per il contesto):

• Aptoide non è una "singola area per app" come Google Play o Amazon App-Store. È piuttosto paragonabile a ciò che Launchpad è per Ubuntu: tutti e la sua sorellina possono aprire qui il proprio repository, che viene presentato come un "negozio" separato dagli altri. C'è una ricerca globale (per app e negozi), però.
• C'è solo un repository che è "curato manualmente" dallo stesso Aptoide, chiamato " App ". Qui il team di Aptoide decide quali app stanno entrando nel repository. Qui io …
  • non ho trovato una sola "app a pagamento pirata", sia per soldi che gratis
  • ho controllato le firme di alcune app e le ho trovate corrispondenti a quelle di Google Play per tutto ciò che ho controllato
  • non ricordare alcuna app senza il marchio "attendibile" (nel senso che l'app così contrassegnata è stata verificata per malware con più scanner (incluso il "buttafuori" di Aptoide), le firme sono state verificate per corrispondere a quelle di altri mercati (principalmente Google Play ) e altro ancora: vedere la mia altra risposta già menzionata per dettagli al riguardo)

Quindi la mia conclusione è in effetti che è abbastanza sicuro usare questo repository .

Tuttavia, ho anche dato un'occhiata ad alcuni degli altri repository - dove puoi trovare molte "app piratate" ovviamente (le app a pagamento di GPlay "gratis" sono sempre un segnale per questo). In quei luoghi, non solo mancava spesso il timbro "attendibile", ma trovavo spesso il timbro "non attendibile", il che significa che l'app era probabilmente contaminata (i dettagli differivano; molto spesso ho trovato che la firma era il problema: " è stato usato altrove per firmare un altro pacchetto di sviluppatori "è sicuro al 99% di indicare un" hack ").

Riassumendo: qui non si può dare una risposta generale (che risponderebbe alla domanda se "la Terra" sia un luogo sicuro in cui vivere). Quanto è sicuro usare Aptoide praticamente dipende dalla scelta del repository. Uno è noto per essere curato manualmente e, oserei dire, sicuro come Google Play , Amazon App Store e altri. Alcuni possono essere considerati abbastanza sicuri, soprattutto se si conoscono i loro proprietari e attenersi alle app che mostrano lo scudo "fidato".

Evita che alle app non venga assegnato lo scudo "fidato" (attualmente verde), soprattutto stai alla larga da quelli che mostrano lo scudo "non fidato" (attualmente giallo), meglio attenersi al solo repository di app - e Aptoide dovrebbe essere un posto sicuro per te .

Considero il repository delle app abbastanza sicuro da collegarlo dai miei elenchi di app , accanto a F-Droid e Google Play.

Aptoide è un sito di pirateria noto per le app Android. Se ritieni che qualsiasi sito che distribuisca consapevolmente software piratato sia sicuro, stai diventando piuttosto ottimista.

Di recente ho pubblicato la mia app Android Westward Dystopia sul Google Play Store SOLO e in pochi giorni l'ho trovata offerta su Aptoide. Quando ho contattato l'azienda per rimuovere il contenuto, mi hanno detto che non lo avrebbero fatto a meno che non mi fossi registrato per il loro servizio prima e avessi aperto un account con loro.

Questo NON è il modo in cui viene eseguito un sito legittimo. Non mi fiderei di loro per quanto potrei buttarli. Gli utenti attenti.