Seberapa amankah menggunakan Aptoide?

34

Seperti pembaruan terbaru untuk Google Play, sekarang lebih lama melihat daftar lengkap izin yang diminta oleh aplikasi saat menginstal / memperbarui 1 , saya merasa privasi saya diserang. Lebih buruk lagi, aplikasi bisa menyelinap masuk izin tambahan dengan pembaruan, dan tanpa pengguna tahu 2,3 .

Jadi saya mencari alternatif.

TL; DR:

Saya tahu kami punya. Apa saja pasar aplikasi Android alternatif? , tetapi a) itu kurang lebih merupakan daftar pasar lain (tanpa memberikan latar belakang) 4 , dan b) bahkan tidak menyebutkan Aptoide .

Saya tidak ingin aplikasi lain yang harus berjalan di latar belakang secara permanen untuk "memeriksa validitas lisensi", sehingga hal-hal seperti Amazon Appstore atau AndroidPIT keluar. AppBrain hanyalah ujung depan dari Google Play - sangat menyenangkan, tidak menyelesaikan masalah, karena untuk pemasangan dan pembaruan aplikasi hanya perlu mengarahkan ulang ke Google Play - yang saya akan " melarikan diri".

Saya sudah memeriksa F-Droid beberapa hari yang lalu, dan merasa cukup pas dengan kebutuhan saya (ikuti tautan untuk perincian) - tetapi dengan sekitar 1.200 Aplikasi (per 6/2014) ia meninggalkan terlalu banyak celah.

Aptoide di ujung yang lain dikatakan melayani lebih dari 120.000 aplikasi saat ini. Seperti namanya, ia menggunakanrepositori gaya APT , yang biasa saya gunakan dari Linux (Debian dan turunannya). Bahkan memungkinkan Anda memiliki repo pribadi Anda sendiri untuk berbagi aplikasi antar perangkat (atau dengan teman). Semua aplikasi ditawarkan secara gratis, jadi tidak perlu untuk "server lisensi". Tetapi seberapa aman untuk pengguna akhir? Saya sudah googled (dan merunduk) selama berjam-jam, tetapi tidak dapat menemukan sumber tentang ini. Sebaliknya saya menemukan banyak tautan dari jenis "dapatkan aplikasi berbayar gratis", "pasar gelap", dan hal-hal lain yang berorientasi pembajakan - yang jelas bukan yang saya cari. Saya lebih dari terbuka untuk membayar aplikasi yang baik 5 , jadi "dapatkan secara gratis" bukan niat di balik pertanyaan saya. SepertiF-Droid , Aptoide memiliki beberapa repositori - tetapi saya tidak tahu apakah ada repositori utama yang "dapat dipercaya" seperti dengan F-Droid .

Ada informasi terkait yang tersedia dalam deskripsi paket (mis. Yang ini ) yang mengindikasikan tindakan keamanan seperti pemindaian malware, validasi tanda tangan, dan validasi pihak ketiga. Tetapi seperti yang ditunjukkan halaman web terkait , informasi ini tampaknya setidaknya sebagian bergantung pada umpan balik pengguna (yang dapat dipalsukan / dimanipulasi), atau bahkan tidak disajikan kepada pengguna (info paket misalnya nama 3 pemindai yang digunakan untuk memeriksa, saya tidak dapat menemukan info ini di halaman web). Meskipun saya mungkin dapat mencari hal-hal melalui info paket, saya tidak dapat meminta misalnya orang tua saya yang berumur 70+ tahun untuk melakukannya. Pada halaman ini , Aptoide juga menunjukkan cara melihat hasil tindakan keamanan mereka, dan secara eksplisit menyatakan:

Platform Anti-Malware Aptoide menganalisis aplikasi dalam waktu berjalan dan menonaktifkan potensi ancaman di semua toko.

(Tambang Penekanan) - yang menyarankan perlindungan malware yang sebanding dengan Google Play (bagaimana hal itu sejalan dengan "rumor pasar gelap" itu? Mungkin mereka tidak menghapus aplikasi yang menyinggung, tetapi hanya menandainya saja?).

Akhirnya

Pertanyaan:

Apakah ada cara untuk menggunakan Aptoide sebagai sumber untuk aplikasi dengan aman? Jika ya, bagaimana caranya? 6 Jika tidak, mengapa tidak?

Poin bonus untuk cara "bukti idiot" yang dapat direkomendasikan untuk pengguna yang kurang berpengalaman.


Catatan kaki

1 Saya tahu ini mungkin membukahalaman web Google Play Store aplikasi, gulir di dalamnya, dan klik tautan yang sesuai ketika ditemukan - tetapi Anda tidak dapat menyebut itu ramah pengguna, atau mengharapkan pengguna melakukan ini pada setiap pembaruan.
2 misalnya pada instalasi pertama meminta "tidak curiga"READ_PHONE_STATEdengan pembenaran biasa. Dengan pembaruan, itu dapat memintaCALL_PHONE,,PROCESS_OUTGOING_CALLSdan lainnya - dan aplikasi Play tidak akan memunculkannya, karena mereka termasuk dalam "grup yang sama".
3 Untuk mengetahui "izin baru", seseorang harus membandingkan versi yang diinstal dengan yang ada saat ini. Selamat bersenang-senang!
4 Saya baru saja mengedit dua jawaban dan menambahkan beberapa detail pada AppBrain dan F-Droiduntuk mengisi kekosongan tersebut
5 Saya telah membeli banyak aplikasi di Google Play (atau disumbangkan ke dev secara langsung), dan misalnya F-Droid memiliki tombol donasi pada setiap halaman aplikasi untuk memungkinkan hal ini
6 Saya bisa bayangkan dengan mengetahui (dan membatasi penggunaan Anda untuk) "repositori Aptoide aman" ini dapat dicapai. Tetapi ketika saya menulis, saya tidak tahu yang mana yang dianggap "aman". The Artikel Aptoide di Wikipedia menunjukkan ada "default repo" di install, dan lebih repo perlu ditambahkan secara manual; jadi mungkin menempel pada yang pertama itu aman.

Izzy
sumber
Saya pikir toko aplikasi sama amannya dengan kepercayaan Anda kepada kurator atau (dalam kasus toko aplikasi yang sepenuhnya terbuka) para pengembang yang mengirimkan aplikasi. IMHO, untuk Aptoide, saya akan memasukkannya ke dalam kategori "sama amannya dengan aplikasi devs". Tapi itu karena saya tidak tahu apa-apa tentang minat kurator di sini. Saya berharap bahwa meskipun mereka hanya membuat lebih sulit untuk mencari tahu apakah aplikasi dev meminta lebih dari itu untuk versi sebelumnya, Google memiliki kepentingan untuk tidak memiliki aplikasi jahat menyebar di ekosistem mereka. Tidak yakin dengan motif Aptoid.
ctt
Terima kasih atas komentarnya! Adapun Google Play, saya tidak terlalu peduli untuk "aplikasi jahat" dalam akal sehat (meskipun beberapa dari mereka lolos kontrol Google untuk sementara waktu sekarang dan kemudian juga), melainkan untuk "pengumpul data" dan suka (dengan Google menjadi salah satu yang terbesar). Dan tidak yakin tentang Aptoid adalah alasan saya mengajukan pertanyaan ini :) Saya tidak ingin mengganti masalah dengan yang lain. Dan saya ingin tahu pasti apa yang bisa saya rekomendasikan kepada orang lain.
Izzy
Ah sial, aku menandai ini karena kesalahan teman-teman, maafku! Itu adalah pertanyaan Stack Overflow di tab lain. Itu isyarat saya untuk istirahat!
RossC
Anda mengabaikan poin penting - apakah Aptoide bahkan menawarkan proses peningkatan aplikasi yang memberi tahu Anda tentang perubahan izin? Mengingat penurunan yang jelas dalam keamanan dan keselamatan saat menggunakan infrastruktur yang terdesentralisasi dan dibajak, itu harus menawarkan beberapa manfaat selain tidak hanya Google. Jika Anda khawatir tentang pengumpulan data yang licik, saya akan mengatakan Anda lebih berisiko ketika mendapatkan aplikasi dari etalase dengan aplikasi yang diunggah secara massal dan bukan oleh pengembang (dan mungkin dimodifikasi).
ProjectJourneyman
1
@ProjectJourneyman Google Play tidak memberikan petunjuk tentang pembaruan (jika izin baru ditambahkan ke "grup yang sama"). Dengan Aptoide, F-Droid, dan lainnya menjadi "pasar pihak ketiga", mereka selalu harus memanggil "penginstal paket lokal", yang menunjukkan kepada Anda semua izin aplikasi yang akan diperbarui / diinstal sebelum Anda dapat melanjutkan menginstal . Padahal, sayangnya, bukan "beda" dengan versi saat ini.
Izzy

Jawaban:

20

Terima kasih telah mengajukan pertanyaan ini. Berikut adalah beberapa informasi tentang Aptoide yang saya harap bermanfaat bagi Anda dan komunitas Stackexchange / Android:

  1. Malware adalah sesuatu yang kami anggap sangat serius. Saat ini, kami memiliki 3 sistem berbeda untuk mendeteksi malware saat tiba di toko aplikasi yang didukung Aptoide:
    • kami menjalankan 3 anti-virus yang berbeda di emulator di run-time
    • kami memiliki sistem tanda tangan internal untuk mendeteksi ancaman yang berulang
    • kami telah menerapkan rantai kepercayaan berdasarkan tanda tangan pengembang
  2. Tugas menciptakan lingkungan yang aman bagi pengguna akhir adalah target yang bergerak. Kami bekerja dengan beberapa universitas dan pusat penelitian dan dalam sebuah artikel baru-baru ini (belum dipublikasikan) kami membandingkan dengan baik dengan toko aplikasi lainnya. Kami juga mengusulkan proyek penelitian Eropa dengan 2 perusahaan anti-virus dan 3 universitas / pusat penelitian untuk menangani topik ini. Ada banyak pekerjaan yang harus dilakukan dan umpan balik dari masyarakat adalah penting.
  3. F-Droid sebenarnya sangat mirip dengan Aptoide. Mereka adalah cabang dari Aptoide dan mereka mempertahankan semua konsep yang kami kembangkan, seperti beberapa toko. Mereka memiliki pendekatan yang lebih terpusat dan tanda tangan pusat yang jika tentu saja berbeda dari pendekatan kami.
  4. Di Aptoide kami memiliki stempel "Tepercaya". Jika Anda melihat cap Tepercaya di suatu aplikasi, kami yakin 99,99% bahwa aplikasi itu tidak mengandung ancaman bagi pengguna akhir.

Terbaik,
Paulo Trezentos (salah satu pendiri Aptoide)

pengguna64756
sumber
Terima kasih banyak atas detailnya, Paulo! Meskipun saya berharap banyak, ada baiknya untuk memiliki rincian ini secara langsung. Apakah ada sesuatu yang bisa dikatakan tentang repositori mana yang dianggap "lebih aman" / "utama" (seperti yang sentral di F-Droid - yang selain IMHO adalah satu-satunya yang menggunakan tanda tangan pusat yang Anda sebutkan dalam 3.), direkomendasikan untuk "pengguna yang lebih berhati-hati" - atau apakah mereka semua memiliki ancaman serupa? Bagaimana dengan "pasar gelap" yang sering dikaitkan dengan Aptoide? Dan apakah cap "tepercaya" dari 4. entah bagaimana dikodekan dalam XML yang saya sebutkan (untuk misalnya dideteksi secara otomatis oleh skrip)?
Izzy
@semua detail yang Hilang telah dikirim kepada saya melalui surat, sejajar dengan posting Paulo di sini. Temukan mereka diringkas dalam jawaban saya untuk Apa pasar aplikasi Android alternatif?
Izzy
Hormat, yakinkan saya
10
1
Malware is something that we take very seriously Sangat? Saya melaporkan masalah potensial melalui formulir web mereka dan setelah seminggu tidak ada yang terjadi. Lihat aptoide-bagaimana-melaporkan-potensi-penyalahgunaan-tanpa-menjadi-anggota
k3b
9

Setelah jawaban Paulo , beberapa pertukaran surat dengannya, saya sudah menulis deskripsi terperinci dalam jawaban saya untuk pertanyaan lain - dan juga dalam sebuah artikel di situs saya sendiri: Android Markets: Seberapa amankah sumber alternatif?

Setelah itu, saya terus mengawasi Aptoide sejak saat itu, dan masih melakukannya - jadi izinkan saya menambahkan beberapa detail lagi (termasuk beberapa poin yang telah disebutkan sebelumnya, untuk konteks):

  • Aptoide bukan "area tunggal untuk aplikasi" seperti Google Play atau Amazon App-Store. Ini agak sebanding dengan Launchpad untuk Ubuntu: Semua orang dan adik perempuannya dapat membuka repositori mereka sendiri di sini, yang disajikan sebagai "toko" yang terpisah dari yang lain. Namun ada pencarian global (untuk aplikasi dan toko).
  • Hanya ada satu repositori yang "dikuratori secara manual" oleh Aptoide sendiri, yang disebut " Aplikasi ". Di sini tim Aptoide memutuskan aplikasi apa yang memasuki repositori. Aku disini …
    • tidak menemukan satu "aplikasi berbayar bajakan", baik itu untuk uang atau gratis
    • memeriksa tanda tangan beberapa aplikasi dan menemukan mereka cocok dengan Google Play untuk semua yang saya periksa
    • tidak ingat aplikasi apa pun tanpa cap "tepercaya" (artinya, aplikasi yang ditandai telah diperiksa untuk malware dengan banyak pemindai (termasuk "penjaga" Aptoide sendiri), tanda tangan telah diverifikasi agar sesuai dengan yang ada di pasar lain (kebanyakan Google Play ), dan lainnya - lihat jawaban saya yang lain yang disebutkan untuk detail tentang ini)

Jadi kesimpulan saya sebenarnya cukup aman untuk menggunakan repositori ini .

Namun, saya juga telah melihat beberapa repositori lainnya - di mana Anda memang dapat menemukan banyak "aplikasi bajakan" (aplikasi berbayar dari GPlay "gratis" selalu menjadi sinyal untuk itu). Di tempat-tempat itu, tidak hanya stempel "tepercaya" yang sering hilang - tetapi sebaliknya saya sering menemukan perangko "tidak tepercaya" - yang berarti aplikasinya mungkin terkontaminasi (detailnya berbeda; paling sering saya menemukan tanda tangan menjadi masalah: "itu digunakan di tempat lain untuk menandatangani paket pengembang lain "99% yakin untuk menunjukkan" peretasan ").


Ringkasnya: Jawaban umum tidak dapat diberikan di sini (itu akan menjawab pertanyaan apakah "Bumi" adalah tempat yang aman untuk hidup). Seberapa aman menggunakan Aptoide sangat tergantung pada pilihan repositori Anda. Satu diketahui dikuratori secara manual dan, saya berani mengatakan, seaman Google Play , Amazon App Store , dan lainnya. Beberapa dapat dianggap cukup aman - terutama jika Anda tahu tentang pemiliknya, dan tetap menggunakan aplikasi yang menunjukkan perisai "tepercaya".

Hindari aplikasi yang tidak diberi perisai "tepercaya" (saat ini hijau), terutama jauhi perisai yang menunjukkan perisai "tidak dipercaya" (saat ini kuning), sebaiknya tempelkan ke repositori Aplikasi sendiri - dan Aptoide harus menjadi tempat yang aman untuk Anda .

Saya menganggap repositori Aplikasi cukup aman untuk menautkannya dari daftar aplikasi saya - di sebelah F-Droid dan Google Play.

Izzy
sumber
Jika "tepercaya", yaitu aplikasi hijau diverifikasi menggunakan tanda tangan dari Google Play, mengapa lebih baik hanya berpegang pada repositori Aplikasi saja?
hulkingtickets
@hulkingtickets karena dengan begitu Anda tidak mengambil risiko untuk "secara tidak sengaja memukul yang kuning". Kita semua memiliki saat-saat kita di mana kita terganggu (atau "orang lain" menggunakan perangkat kita).
Izzy
4

Aptoide adalah situs pembajakan yang dikenal untuk aplikasi Android. Jika Anda berpikir situs apa pun yang secara sadar mendistribusikan perangkat lunak bajakan itu aman, Anda bersikap optimis.

Michael A.
sumber
1
Anda tidak boleh menulis sesuatu yang tidak dapat Anda buat cadangannya dengan sumber. Apa yang Anda tulis seperti mengatakan "Windows selalu memiliki virus", "pengguna komputer adalah peretas", dan sejenisnya. Pernahkah Anda membaca jawaban user64756 ? Ada repositori yang dikuratori, dan ada "repositori pribadi". Apa yang sampai pada yang pertama dikontrol oleh staf - yang tidak dapat dikatakan untuk yang terakhir.
Izzy
3
Sampah. Aptoide telah menjadi situs bajak laut sejak awal, dan terus mendapat untung dari distribusi perangkat lunak bajakan. Mengklaim bahwa staf tidak dapat dianggap bertanggung jawab atas apa yang mereka aktifkan dan dapatkan untungnya, adalah semantik yang terbaik.
Michael A.
2
Apa yang Anda tulis seperti mengatakan "Piratebay bukan situs pembajakan." : D
Michael A.
2
Jangan membuatku tertawa. Halaman depan aptoide secara terbuka mempromosikan produk bajakan. Pergi "oh, tapi sudut kecil situs ini bersih" ... ya, kita pernah mendengar itu sebelumnya. Sama lama "oh, tapi kami situs torrent hanya menautkan ke materi, kami tidak dapat mengontrol apa yang diposting".
Michael A.
2
Saya tidak akan berdebat dengan Anda. Saya memiliki kontak dekat dengan Paulo untuk sementara waktu, dan saya telah mengamati Aptoide selama sekitar satu tahun sekarang. Mereka memiliki repo sendiri dengan hampir 50.000 aplikasi saat ini, yang jelas bersih - dan menawarkan semua orang untuk membuka dan memelihara repo sendiri, di mana mereka tidak dapat menjamin kontennya. Anda dapat melaporkan "sejenisnya", dan itu dihapus - tetapi mereka tidak "pergi berburu" sendiri. // Karena pencuri dan Mafiosi menggunakan rekening bank, saya sarankan Anda tetap menjauh dari bank juga - karena pegawai bank juga hanya memeriksa jika diberi tahu (maaf, tidak bisa menahan;) Jangan membuang bayi dengan air mandi; )
Izzy
3

Saya baru-baru ini merilis aplikasi Android saya, Westward Dystopia di Google Play store ONLY dan dalam beberapa hari saya menemukannya ditawarkan di Aptoide. Ketika saya menghubungi perusahaan untuk menghapus konten, mereka mengatakan kepada saya bahwa mereka tidak akan kecuali saya mendaftar untuk layanan mereka terlebih dahulu dan membuka akun dengan mereka.

Ini BUKAN cara situs yang sah dijalankan. Saya tidak akan mempercayai mereka sejauh yang saya bisa melemparkan mereka. Pengguna berhati-hatilah.

regomar
sumber
Ini adalah kata-kata yang tepat dalam email yang saya terima setelah melaporkan pencurian konten saya dan hostingnya di situs Anda: "Untuk menghapus aplikasi yang diminta, kami harus memiliki URL Aptoide yang tepat di mana aplikasi itu berdiri dan itu tidak cukup untuk kirim string kepada kami. 1.- Mengirim URL tunggal Kami kemudian menyarankan Anda untuk mengisi Laporan Penyalahgunaan yang dapat Anda temukan di sini: aptoide.com/report/abuse Untuk mengirimkan formulir, silakan daftarkan diri Anda dengan pengembang Google Play yang sama email dan jangan lupa untuk mengaktifkan akun Anda. "
Regomar
Saya sudah membersihkan komentar di sini. Terima kasih telah menceritakan pengalaman Anda, Regomar; siapa pun yang ingin mendiskusikannya dengan Anda harus mengundang Anda ke Obrolan Penggemar Android .
Matius Baca