Est-il sécuritaire d'utiliser Aptoide?

34

Comme avec la dernière mise à jour de Google Play, on voit désormais la liste complète des autorisations demandées par une application lors de l'installation / de la mise à jour 1 , je me sens envahi par ma vie privée. Pire encore, une application pourrait introduire des autorisations supplémentaires avec une mise à jour et sans que l'utilisateur sache 2,3 .

Donc, je cherche des alternatives.

TL; DR:

Je sais que nous avons Quels sont les marchés alternatifs des applications Android? , mais a) il s’agit plus ou moins d’une liste d’autres marchés (sans donner d’arrière-plans) 4 , et b) cela ne mentionne même pas Aptoide .

Je ne souhaite pas qu'une autre application fonctionnant en arrière-plan de manière permanente pour "vérifier la validité de la licence", des éléments tels que Amazon Appstore ou AndroidPIT sont supprimés. AppBrain n’est qu’un autre guichet unique de Google Play . Si beau qu’il soit, il ne résout pas le problème. En ce qui concerne l’installation et la mise à jour des applications, il suffit de le rediriger vers Google Play , ce que je suis sur le point de " fuir".

J'ai déjà visionné F-Droid il y a quelques jours et je le trouve plutôt à la hauteur de mes besoins (suivez le lien pour plus de détails) - mais avec à peu près 1 200 applications (au 6/2014), cela laisse trop de lacunes.

Aptoide, à l’autre extrémité , servirait actuellement plus de 120 000 applications . Comme son nom l'indique, il utilise desréférentiels de style APT , auxquels je suis habitué depuis Linux (Debian et ses dérivés). Il vous permet même de disposer de votre propre dépôt privé pour partager des applications entre appareils (ou avec des amis). Toutes les applications sont offertes gratuitement, vous n'avez donc pas besoin d'un "serveur de licences". Mais à quel point est-il sûr pour l'utilisateur final? J'ai googlé (et esquissé) pendant des heures, mais je n'ai trouvé aucune source à ce sujet. Au lieu de cela, j'ai trouvé beaucoup de liens du type "obtenir des applications payantes gratuitement", "marché noir" et autres produits axés sur le piratage - ce qui n'est certainement pas ce que je recherche. Je suis plus qu'ouvert pour payer de bonnes applications 5 , alors "les obtenir gratuitement" Ce n'est pas l'intention derrière ma question. CommeF-Droid , Aptoide a plusieurs référentiels - mais je n’ai pas pu déterminer s’il existe un référentiel principal "fiable" comme avec F-Droid .

Des informations connexes sont disponibles dans la description du package (par exemple, celle-ci ) indiquant les mesures de sécurité, telles que l'analyse du logiciel malveillant, la validation de la signature et la validation par un tiers. Mais comme le montre la page Web correspondante , ces informations semblent reposer au moins en partie sur les commentaires de l'utilisateur (qui pourraient être falsifiés / manipulés), ou ne sont même pas présentées à l'utilisateur (les informations sur le paquet, par exemple les noms 3 scanners utilisés pour vérifier, I ne trouve pas cette information sur la page Web). Bien que je puisse pouvoir rechercher des informations via les informations sur les paquets, je ne peux pas demander, par exemple, à mes parents de plus de 70 ans de le faire. Sur cette page , Aptoide indique également comment afficher les résultats de leurs mesures de sécurité et indique explicitement:

La plateforme Aptoide Anti-Malware analyse les applications au moment de l'exécution et désactive les menaces potentielles dans tous les magasins.

(Soulignez le mien) - ce qui suggère une protection contre les programmes malveillants comparable à celle de Google Play (comment cela va-t-il avec ces "rumeurs du marché noir"? Peut-être qu'ils ne suppriment tout simplement pas les applications incriminées, mais les marquent seulement à la place?).

Donc enfin

La question:

Existe-t-il un moyen d'utiliser Aptoide en toute sécurité comme source d'applications? Si c'est le cas, comment? 6 Si non, pourquoi pas?

Des points bonus pour une manière "idiote" qui pourrait être recommandée aux utilisateurs moins expérimentés.

Notes de bas de page

1 Je sais qu'il serait possible d'ouvrir lapage Web Google Play Store de l'application, de la faire défiler et de cliquer sur le lien correspondant une fois trouvée. Mais vous ne pouvez pas appeler cela de manière conviviale, ni attendre que les utilisateurs le fassent à chaque mise à jour.
2 Par exemple, lors de la première installation, il a demandé le "sans méfiance"READ_PHONE_STATEavec la justification habituelle. Avec une mise à jour, il pourrait demanderCALL_PHONE,PROCESS_OUTGOING_CALLSet d'autres - et l'application Play ne l'aurait pas soulevée, car ils appartiennent au "même groupe".
3 Pour comprendre les "nouvelles autorisations", il fallait comparer celles de la version installée avec celles de la version actuelle. S'amuser!
4 Je viens de modifier deux réponses et d'ajouter quelques détails sur AppBrain et F-Droid.pour combler ces lacunes
5 J'ai acheté beaucoup d'applications sur Google Play (ou reversés à l'dev directement), et par exemple F-Droid a des boutons de don sur cette possible la page de chaque application pour faire
6 je pourrais imaginer en sachant (et la restriction votre utilisation de "dépôts sécurisés Aptoide" ceci pourrait être réalisé. Mais comme je l'ai écrit, je ne pouvais pas savoir lesquels considérer comme "sûr". L' article d'Aptoide sur Wikipedia suggère qu'il existe un "dépôt par défaut" lors de l'installation et que davantage de dépôts doivent être ajoutés manuellement. il est donc possible que le premier soit sûr.

alternative-markets Izzy
la source
Je pense qu'un app store est aussi sûr que votre confiance envers les conservateurs ou (dans le cas d'un app store entièrement ouvert) les développeurs qui soumettent des applications. IMHO, pour Aptoide, je le mettrais dans la catégorie "aussi sûre que les développeurs d'applications". Mais c’est parce que je ne connais rien aux intérêts des conservateurs. J'espère que même s'ils ont rendu plus difficile la tâche de déterminer si un développeur d'applications en demandait plus qu'à une version précédente, Google a tout intérêt à ne pas avoir d'applications malveillantes réparties dans leur écosystème. Pas sûr sur les motivations d'Aptoid.
ctt le
Merci pour les commentaires! En ce qui concerne Google Play, je ne m'inquiète pas beaucoup pour les "applications malveillantes" au sens commun (même si plusieurs d'entre elles échappent également au contrôle de Google pendant un certain temps également), mais plutôt pour les "collecteurs de données" et les comme (avec Google étant l'un des plus gros). Et ce n’est pas pour être sûr d’Aptoid que je pose cette question :) Je ne veux pas remplacer un problème par un autre. Et je veux savoir avec certitude ce que je peux recommander aux autres.
Izzy
Ah merde, j'ai signalé ceci par erreur les gars, mes apolgies! C'était une question de débordement de pile dans l'autre onglet. C'est mon indice pour faire une pause!
RossC
Vous avez laissé de côté un point important - Aptoide propose-t-il même un processus de mise à niveau de l'application qui vous avertit des modifications d'autorisation? Compte tenu de la diminution évidente de la sécurité lorsque l’utilisation d’une infrastructure décentralisée et piratée, elle devrait offrir certains avantages, en plus de ne pas être simplement Google. Si vous êtes inquiet au sujet de la collecte sournoise de données, je dirais que vous êtes plus en danger lorsque vous obtenez des applications depuis une vitrine avec des applications téléchargées en bloc et non par les développeurs (et éventuellement modifiées).
ProjectJourneyman
1
@ProjectJourneyman Google Play ne donne pas de tels conseils sur la mise à jour (si de nouvelles autorisations sont ajoutées au "même groupe"). Aptoide, F-Droid et d’autres étant des "marchés tiers", ils doivent toujours faire appel au "programme d’installation local du paquet", qui vous indique toutes les autorisations de l’application à mettre à jour / installée avant de pouvoir procéder à l’installation. . Bien que, malheureusement, pas un "diff" à la version actuelle.
Izzy

Réponses:

20

Merci d'avoir soulevé ces questions. Voici quelques informations sur Aptoide qui, je l’espère, vous seront utiles, ainsi qu’à la communauté Stackexchange / Android:

  1. Les logiciels malveillants sont quelque chose que nous prenons très au sérieux. Actuellement, nous disposons de 3 systèmes différents pour détecter les logiciels malveillants dès leur arrivée dans un magasin d'applications géré par Aptoide:
    • nous exécutons 3 antivirus différents dans des émulateurs au moment de l'exécution
    • nous avons un système interne de signatures pour détecter les menaces récurrentes
    • nous avons mis en place une chaîne de confiance basée sur la signature du développeur
  2. La tâche de créer un environnement sûr pour l'utilisateur final est une cible en mouvement. Nous travaillons avec plusieurs universités et centres de recherche et, dans un article récent (non encore publié), nous comparons bien avec les autres magasins d'applications. Nous avons également proposé un projet de recherche européen avec 2 sociétés antivirus et 3 universités / centres de recherche pour traiter ce sujet. Il y a beaucoup de travail à faire et les commentaires de la communauté sont importants.
  3. F-Droid est en fait très similaire à Aptoide. Ils sont une fourchette de Aptoide et ils conservent tous les concepts que nous avons développés, comme plusieurs magasins. Ils ont une approche plus centralisée et une signature centrale qui, bien sûr, diffère de notre approche.
  4. Chez Aptoide, nous avons le timbre "Trusted". Si vous voyez le tampon de confiance dans une application, nous sommes certains à 99,99% que celle-ci ne contient aucune menace pour l'utilisateur final.

Best,
Paulo Trezentos (cofondateur d'Aptoide)

utilisateur64756
la source
Merci beaucoup pour vos détails, Paulo! Bien que je m'y attendais, il est bon d'avoir ces détails de première main. Y a-t-il quelque chose à dire sur les dépôts considérés comme "plus sûrs" / "principaux" (comme celui de F-Droid, qui est d'ailleurs le seul à utiliser la signature centrale que vous avez mentionnée en 3.), à recommander "l'utilisateur le plus prudent" - ou sont-ils tous traités de la même manière? Qu'en est-il de ces "marchés noirs" auxquels Aptoide est si souvent associé? Et le timbre "de confiance" de 4. est-il codé en quelque sorte dans le XML que j'ai mentionné (par exemple, être détecté automatiquement par un script)?
Izzy
@all Tous les détails manquants m'ont été envoyés par courrier, parallèlement au message de Paulo ici. Retrouvez-les résumés dans ma réponse à Quels sont les marchés alternatifs des applications Android?
Izzy
Respect, m'a convaincu
L0Ft
1
Malware is something that we take very seriously Vraiment? J'ai signalé un problème potentiel via leur formulaire Web et après une semaine, rien ne s'était passé. Voir aptoide-comment-signaler-un-abus-potentiel-sans-devenir-membre
k3b
9

Après la réponse de Paulo , quelques échanges de courrier supplémentaires avec lui, j’avais déjà écrit une description détaillée dans ma réponse à une autre question - et également dans un article sur mon propre site: Android Markets: Quel est le niveau de sécurité des sources alternatives?

Après cela, j'ai surveillé Aptoide de près, et je le fais toujours - alors permettez-moi d'ajouter quelques détails supplémentaires (y compris certains points déjà mentionnés précédemment, pour le contexte):

  • Aptoide n'est pas une "zone unique d'applications" comme Google Play ou Amazon App-Store. C'est assez comparable à ce que Launchpad est pour Ubuntu: chacun et sa petite soeur peuvent ouvrir leur propre dépôt ici, présenté comme un "magasin" séparé des autres. Il existe une recherche globale (pour les applications et les magasins), cependant.
  • Il n'y a qu'un seul référentiel "géré manuellement" par Aptoide, appelé " Apps ". Ici, l'équipe Aptoide décide quelles applications entrent dans le référentiel. Ici je …
    • n'a trouvé aucune "application payante piratée", que ce soit pour de l'argent ou gratuitement
    • vérifié les signatures de certaines applications et trouvé qu'elles correspondent à celles de Google Play pour toutes les personnes que j'ai cochées
    • Si vous ne vous souvenez d'aucune application sans le tampon "de confiance" (cela signifie que l'application ainsi marquée a été contrôlée à l'aide de plusieurs scanners (y compris le "videur" propre à Aptoide), les signatures ont été vérifiées pour correspondre à celles d'autres marchés (principalement Google Play). ), et plus - voir ma réponse déjà mentionnée pour plus de détails à ce sujet)

Donc, ma conclusion est qu’il est en fait assez sûr d’utiliser ce référentiel .

Cependant, j'ai aussi jeté un coup d'œil à plusieurs autres référentiels - où vous pouvez effectivement trouver de nombreuses "applications piratées" (les applications payantes de GPlay "gratuites" en sont toujours le signe). À ces endroits, non seulement le cachet "de confiance" manquait souvent - mais je trouvais souvent le cachet "non approuvé" - ce qui signifie que l'application était probablement contaminée (les détails différaient; le plus souvent, je trouvais que la signature était le problème: "il a été utilisé ailleurs pour signer un autre package de développeurs "est sûr à 99% d'indiquer un" hack ").

En résumé: une réponse générale ne peut pas être donnée ici (ce serait répondre à la question de savoir si "la Terre" est un endroit sûr où vivre). La sécurité d'utilisation d'Aptoide dépend en grande partie de votre choix de référentiel. L'une d'elles est connue pour être organisée manuellement et, j'ose dire, aussi sûre que Google Play , Amazon App Store et d'autres. Quelques-uns peuvent être considérés comme assez sûrs - en particulier si vous connaissez leurs propriétaires, et que vous vous en tenez aux applications affichant le bouclier "de confiance".

Évitez que le bouclier "digne de confiance" (actuellement vert) ne soit attribué au apps, en particulier, restez à l’écart de celles affichant le bouclier "non fiable" (actuellement jaune), mieux vaut également vous en tenir au référentiel d’ applications - et Aptoide devrait être un endroit sûr pour vous. .

Je considère que le référentiel d' applications est suffisamment sûr pour le lier à partir de mes listes d'applications , à côté de F-Droid et de Google Play.

Izzy
la source
Si "approuvé", c'est-à-dire que les applications vertes sont vérifiées à l'aide d'une signature de Google Play, pourquoi est-il préférable de s'en tenir au référentiel d'applications uniquement?
Hulkingtickets
@hulkingtickets parce que de cette façon vous ne risquez pas de "toucher accidentellement un jaune". Nous avons tous nos moments où nous sommes distraits (ou "quelqu'un d'autre" utilise notre appareil).
Izzy
4

Aptoide est un site de piratage connu pour les applications Android. Si vous pensez qu'un site distribuant sciemment des logiciels piratés est sûr, vous êtes plutôt optimiste.

Michael A.
la source
1
Vous ne devriez pas écrire quelque chose que vous ne pouvez pas sauvegarder par des sources. Ce que vous écrivez revient à dire: "Windows a toujours des virus", "les utilisateurs d’ordinateurs sont des hackers", etc. Avez-vous même lu la réponse de user64756 ? Il existe un référentiel organisé et il existe des "référentiels privés". Ce qui vient au premier est contrôlé par le personnel - ce qui ne peut pas nécessairement être dit pour le second.
Izzy
3
Ordures. Aptoide est un site pirate depuis sa création et continue de tirer parti de la distribution de logiciels piratés. Affirmer que le personnel ne peut être tenu responsable de ce dont il est capable et dont il profite est au mieux une sémantique.
Michael A.
2
Ce que vous écrivez revient à dire "Piratebay n'est pas un site de piratage". : D
Michael A.
2
Ne me fais pas rire. La page de couverture d’aptoide fait la promotion des produits piratés. Aller "oh, mais ce petit coin du site est propre" ... ouais, on en a déjà entendu parler. Même vieux "oh, mais nous sites de torrent seulement lien vers le matériel, nous ne pouvons pas contrôler ce qui est posté".
Michael A.
2
Je ne discuterai pas avec vous. J'ai eu un contact étroit avec Paulo pendant un certain temps et j'ai observé Aptoide depuis environ un an maintenant. Ils ont leur propre dépôt avec près de 50 000 applications actuellement, ce qui est sans aucun doute une propreté - et proposent à tout le monde d’ouvrir et de gérer son propre dépôt, où ils ne peuvent pas en garantir le contenu. Vous pouvez signaler "ilk" et il est supprimé - mais ils ne "chassent" pas eux-mêmes. // Comme les voleurs et les mafieux utilisent des comptes bancaires, je vous recommande de ne pas toucher aux banques. Les employés des banques vérifient également si on leur dit de le faire (désolé, je ne pourrais pas résister;) Ne jetez pas le bébé avec l'eau du bain; )
Izzy
3

J'ai récemment publié mon application Android Westward Dystopia sur le Google Play Store UNIQUEMENT et quelques jours plus tard, elle a été proposée sur Aptoide. Lorsque j'ai contacté la société pour obtenir le contenu supprimé, ils m'ont dit qu'ils ne le feraient pas, à moins que je m'inscrive d'abord à leur service et que je crée un compte avec eux.

Ce n'est pas la façon dont un site légitime est exécuté. Je ne leur ferais pas confiance autant que je pourrais les jeter. Les utilisateurs se méfient.

Regomar
la source
Voici le libellé exact de l'e-mail que j'ai reçu après avoir signalé le vol de mon contenu et son hébergement sur votre site: "Pour supprimer l'application demandée, vous devez disposer de l'URL exacte Aptoide indiquant où se trouve l'application et qui ne suffit pas. envoyez-nous une chaîne 1.- Envoi d'une seule URL Nous vous suggérons ensuite de remplir le rapport d'abus que vous pouvez trouver ici: aptoide.com/report/abuse Pour envoyer le formulaire, veuillez vous enregistrer avec le même développeur Google Play. email et n'oubliez pas d'activer votre compte ".
Regomar
J'ai nettoyé les commentaires ici. Merci de raconter votre expérience, regomar; toute personne souhaitant en discuter avec vous devrait vous inviter à discuter avec les amateurs d'Android .
Matthew Lu