40 votes

L'utilisation d'Aptoide est-elle sûre ?

Comme pour la dernière mise à jour de Google Play on ne voit plus la liste complète des permissions demandées par une application lors de l'installation/mise à jour 1 je sens que ma vie privée est envahie. Pire encore, une application peut introduire en douce des autorisations supplémentaires lors d'une mise à jour, sans que l'utilisateur le sache 2,3 .

Je cherche donc des alternatives.

TL;DR :

Je sais que nous avons Quels sont les autres marchés d'applications Android ? mais a) il s'agit plus ou moins d'une liste d'autres marchés (sans donner d'arrière-plan). 4 et b) il ne mentionne même pas Aptoide .

Je ne veux pas d'une autre application qui doit fonctionner en arrière-plan en permanence pour "vérifier la validité de la licence", donc des choses comme l'application Amazon Appstore o AndroidPIT sont sortis. AppBrain est juste un autre frontal pour Google Play - aussi sympathique soit-il, il ne résout pas le problème, car pour les installations et les mises à jour d'applications, il faut simplement rediriger vers Google Play - que je suis plutôt sur le point de "fuir".

J'ai déjà vérifié F-Droid il y a quelques jours, et je pense qu'il correspond assez bien à mes besoins (suivez le lien pour plus de détails) - mais avec environ 1.200 applications (à partir de 6/2014) il laisse trop de lacunes.

Aptoide à l'autre bout servirait plus de 120 000 applications. actuellement. Comme son nom l'indique, il utilise APT que j'ai l'habitude d'utiliser sous Linux (Debian et dérivés). Il vous permet même d'avoir votre propre dépôt privé pour partager des applications entre appareils (ou avec des amis). Toutes les applications sont offertes gratuitement, donc pas besoin d'un "serveur de licences". Mais quelle est la sécurité pour l'utilisateur final ? J'ai cherché sur Google (et dans les moteurs de recherche) pendant des heures, mais je n'ai trouvé aucune source à ce sujet. Au lieu de cela, j'ai trouvé beaucoup de liens du type "obtenir des applications payantes gratuitement", "marché noir", et d'autres trucs axés sur le piratage - ce qui n'est absolument pas ce que je recherche. Je suis plus qu'ouvert à l'idée de payer pour de bonnes applications. 5 Je n'ai donc pas l'intention de vous demander de les obtenir gratuitement. Comme F-Droid , Aptoide a plusieurs dépôts - mais je n'ai pas pu déterminer s'il y a un dépôt principal "fiable" comme dans le cas de F-Droid .

Des informations connexes sont disponibles dans la description du paquet (par ex. celui-ci ) indiquant des mesures de sécurité telles que l'analyse des logiciels malveillants, la validation des signatures et la validation par un tiers. Mais comme le page web correspondante montre que ces informations semblent reposer, au moins en partie, sur les commentaires des utilisateurs (qui pourraient être falsifiés ou manipulés), ou qu'elles ne sont même pas présentées à l'utilisateur (les informations sur le paquet mentionnent par exemple les trois scanners utilisés pour la vérification, mais je ne trouve pas cette information sur la page Web). Si je suis capable de rechercher des informations via les informations sur le paquet, je ne peux pas demander à mes parents de plus de 70 ans de le faire. Sur cette page , Aptoide indique également comment voir les résultats de leurs mesures de sécurité, et déclare explicitement :

La plateforme Aptoide Anti-Malware analyse les applications en cours d'exécution et désactive les menaces potentielles. dans tous les magasins.

(souligné par moi) - ce qui suggère une protection contre les logiciels malveillants comparable à celle de Google Play (comment cela va-t-il de pair avec ces "rumeurs de marché noir" ? Peut-être qu'ils n'ont tout simplement pas supprimer les applications incriminées, mais seulement marque à la place ?).

Alors finalement

La question :

Y a-t-il un moyen d'utiliser en toute sécurité Aptoide comme source pour les applications ? Si oui, comment ? 6 Si non, pourquoi ?

Les points bonus pour une méthode "à l'épreuve des idiots" qui pourrait être recommandée aux utilisateurs moins expérimentés.


Notes de bas de page

1 Je sais qu'il serait possible d'ouvrir le Google Play Store Mais on ne peut pas dire que ce soit convivial, ni s'attendre à ce que les utilisateurs fassent cela à chaque mise à jour.
2 Par exemple, lors de la première installation, il a demandé au "non méfiant" READ_PHONE_STATE avec la justification habituelle. Avec une mise à jour, il pourrait demander CALL_PHONE , PROCESS_OUTGOING_CALLS et d'autres encore - et l'application Play ne le fait pas apparaître, car ils appartiennent au "même groupe".
3 Pour connaître les "nouvelles permissions", il fallait comparer celles de la version installée avec celles de la version actuelle. Amusez-vous bien !
4 Je viens d'éditer deux réponses et d'ajouter quelques détails sur AppBrain y F-Droid pour combler ces lacunes
5 J'ai acheté beaucoup d'applications sur Google Play (ou donné directement au dev), et par ex. F-Droid a des boutons de donation sur la page de chaque application pour rendre cela possible
6 Je pourrais imaginer qu'en connaissant (et en limitant votre utilisation à) des "dépôts Aptoide sûrs", cela pourrait être réalisé. Mais comme je l'ai écrit, je n'ai pas pu déterminer lesquels considérer comme "sûrs". Le site Article sur l'aptoide sur Wikipédia suggère qu'il y a un "dépôt par défaut" à l'installation, et que d'autres dépôts doivent être ajoutés manuellement ; il se peut donc que s'en tenir au premier soit sûr.

0 votes

Je pense qu'un magasin d'applications est aussi sûr que votre confiance dans les conservateurs ou (dans le cas d'un magasin d'applications entièrement ouvert) dans les développeurs qui proposent des applications. À mon avis, pour Aptoide, je le placerais dans la catégorie "aussi sûr que les développeurs d'applications". Mais c'est parce que je ne sais rien des intérêts des conservateurs ici. J'ose espérer que, même s'il est devenu plus difficile de savoir si un développeur d'applications demande plus que ce qu'il demandait pour une version précédente, Google a tout intérêt à ce que des applications malveillantes ne se répandent pas dans son écosystème. Je ne suis pas sûr des motivations d'Aptoid.

0 votes

Merci pour les commentaires ! En ce qui concerne Google Play, je ne suis pas tellement préoccupé par les "applications malveillantes" au sens commun (bien que plusieurs d'entre elles échappent au contrôle de Google de temps en temps), mais plutôt par les "collecteurs de données" et autres (Google étant l'un des plus importants). Et le fait de ne pas être sûr d'Aptoid est la raison pour laquelle je pose cette question :) Je ne veux pas remplacer un problème par un autre. Et je veux savoir avec certitude ce que je peux recommander aux autres.

0 votes

Ah merde, j'ai marqué ça par erreur les gars, toutes mes excuses ! C'était une question Stack Overflow dans l'autre onglet. C'est mon signal pour faire une pause !

26voto

user64756 Points 366

Merci de soulever ces questions. Voici quelques informations sur Aptoide qui, je l'espère, vous seront utiles, à vous et à la communauté Stackexchange/Android :

  1. Les logiciels malveillants sont une chose que nous prenons très au sérieux. Actuellement, nous disposons de trois systèmes différents pour détecter les logiciels malveillants lorsqu'ils arrivent dans un magasin d'applications alimenté par Aptoide :
    • nous exécutons 3 anti-virus différents dans des émulateurs en temps d'exécution
    • nous disposons d'un système interne de signatures pour détecter les menaces récurrentes
    • Nous avons mis en place une chaîne de confiance basée sur la signature du développeur.
  2. La tâche de créer un environnement sûr pour l'utilisateur final est une cible mouvante. Nous travaillons avec plusieurs universités et centres de recherche et, dans un article récent (pas encore publié), nous nous comparons bien aux autres magasins d'applications. Nous avons également proposé un projet de recherche européen avec 2 sociétés anti-virus et 3 universités / centres de recherche pour traiter ce sujet. Il y a beaucoup de travail à faire et le feedback de la communauté est important.
  3. F-Droid est en fait très similaire à Aptoide. C'est un fork d'Aptoide et ils maintiennent tous les concepts que nous avons développés, comme les magasins multiples. Ils ont une approche plus centralisée et une signature centrale qui est bien sûr différente de notre approche.
  4. Chez Aptoide, nous avons le tampon "Trusted". Si vous voyez le tampon Trusted dans une application, nous sommes sûrs à 99,99 % que l'application ne contient pas de menace pour l'utilisateur final.

Le meilleur,
Paulo Trezentos (cofondateur d'Aptoide)

0 votes

Merci beaucoup pour tes détails, Paulo ! Même si je m'y attendais, il est bon d'avoir ces détails de première main. Y a-t-il quelque chose à dire sur les dépôts qui sont considérés comme "plus sûrs"/"principaux" (comme le dépôt central de F-Droid - qui est d'ailleurs, à mon avis, le seul à utiliser la signature centrale que tu as mentionnée en 3.), à recommander à "l'utilisateur plus prudent" - ou sont-ils tous traités de la même manière ? Qu'en est-il de ces "marchés noirs" auxquels Aptoide est si souvent associé ? Et le timbre "de confiance" du point 4. est-il codé d'une manière ou d'une autre dans le XML que j'ai mentionné (pour être par exemple auto-détecté par un script) ?

0 votes

@tous les détails manquants m'ont été envoyés par mail, parallèlement au post de Paulo ici. Retrouvez-les résumés dans ma réponse a Quels sont les autres marchés d'applications Android ?

0 votes

Le respect, m'a convaincu

11voto

Milner Points 533

Après La réponse de Paulo Après avoir échangé quelques mails avec lui, j'ai déjà écrit une description détaillée en ma réponse à une autre question - et aussi dans un article sur mon propre site : Marchés Android : Les sources alternatives sont-elles sûres ?

Depuis lors, j'ai suivi de près l'évolution d'Aptoide, et je continue à le faire. Permettez-moi donc d'ajouter quelques détails supplémentaires (y compris certains points déjà mentionnés auparavant, pour le contexte) :

  • Aptoide n'est pas une "zone unique pour les applications" comme l'est l'UE. Google Play ou l'App-Store d'Amazon. C'est plutôt comparable à ce que Launchpad est pour Ubuntu : Tout le monde et sa petite sœur peut ouvrir son propre dépôt ici, qui est présenté comme un "magasin" séparé des autres. Il y a cependant une recherche globale (pour les applications et les magasins).
  • Il n'y a qu'un seul référentiel qui est "conservé manuellement" par Aptoide lui-même, appelé " Apps ". C'est ici que l'équipe d'Aptoide décide des applications qui entrent dans le référentiel. Ici, je
    • Je n'ai pas trouvé une seule "application pirate payante", qu'elle soit payante ou gratuite.
    • J'ai vérifié la signature de certaines applications et j'ai constaté qu'elle correspondait à celle de l'entreprise. Google Play pour autant que j'aie vérifié
    • je ne me souviens d'aucune application sans le tampon "de confiance" (ce qui signifie que l'application ainsi marquée a fait l'objet d'une vérification des logiciels malveillants à l'aide de plusieurs scanners (y compris le "bouncer" propre à Aptoide), que les signatures ont été vérifiées pour correspondre à celles d'autres marchés (principalement Google Play ), et bien d'autres choses encore - voir mon article déjà mentionné autre réponse pour plus de détails à ce sujet)

Donc ma conclusion est qu'en fait, c'est assez sûr à utiliser. ce référentiel .

Cependant, j'ai également jeté un coup d'œil à plusieurs des autres dépôts - où l'on peut effectivement trouver beaucoup d'applications manifestement "piratées" (les applications payantes de GPlay "gratuites" sont toujours un signal pour cela). À ces endroits, non seulement le cachet "trusted" était souvent absent, mais je trouvais fréquemment le cachet "untrusted", ce qui signifie que l'application était probablement contaminée (les détails différaient ; le plus souvent, c'est la signature qui était en cause : "elle a été utilisée ailleurs pour signer autres développeurs paquet" est sûr à 99% d'indiquer un "hack").


Résumée : Une réponse générale ne peut être donnée ici (ce serait répondre à la question de savoir si "la Terre" est un endroit sûr pour vivre). La sécurité de l'utilisation d'Aptoide dépend en grande partie de votre choix de dépôt. L'un d'entre eux est connu pour être géré manuellement et, j'ose le dire, aussi sûr que les autres. Google Play , Amazon App Store et d'autres. Quelques-unes peuvent être considérées comme assez sûres, surtout si vous connaissez leurs propriétaires et si vous vous en tenez aux applications affichant le bouclier "de confiance".

Évitez les applications auxquelles n'est pas attribué le bouclier "de confiance" (actuellement vert), et surtout restez à l'écart de celles qui affichent le bouclier "non fiable" (actuellement jaune). Apps dépôt seul - et Aptoide devrait être un endroit sûr pour vous.

Je considère que le Apps suffisamment sûr pour le lier à partir de mes listes d'applications - à côté de F-Droid et Google Play.

0 votes

Si les applications "de confiance", c'est-à-dire vertes, sont vérifiées à l'aide d'une signature de Google Play, pourquoi est-il préférable de s'en tenir au seul référentiel d'applications ?

0 votes

@hulkingtickets parce que de cette façon vous ne risquez pas de "toucher accidentellement un jaune". Nous avons tous nos moments où nous sommes distraits (ou "quelqu'un d'autre" utilise notre appareil).

4voto

Michael A. Points 149

Aptoide est un site de piratage connu pour les applications Android. Si vous pensez qu'un site qui distribue sciemment des logiciels piratés est sûr, vous êtes plutôt optimiste.

1 votes

Vous ne devez pas écrire quelque chose que vous ne pouvez pas étayer par des sources. Ce que vous écrivez revient à dire "Windows a toujours des virus", "les utilisateurs d'ordinateurs sont des pirates", etc. Avez-vous au moins lu la réponse de utilisateur64756 ? Il y a un dépôt géré, et il y a des "dépôts privés". Ce qui arrive dans le premier est contrôlé par le personnel - ce qui n'est pas forcément le cas pour le second.

3 votes

Des bêtises. Aptoide est un site pirate depuis sa création, et continue de tirer profit de la distribution de logiciels piratés. Prétendre que le personnel ne peut pas être tenu responsable de ce qu'il permet et dont il profite, c'est au mieux de la sémantique.

2 votes

Ce que vous écrivez revient à dire "Piratebay n'est pas un site de piratage". :D

3voto

Matthew Belk Points 784

J'ai récemment publié mon application Android Westward Dystopia sur le Google Play store UNIQUEMENT et quelques jours plus tard, j'ai constaté qu'elle était proposée sur Aptoide. Lorsque j'ai contacté la société pour faire retirer le contenu, ils m'ont dit qu'ils ne le feraient pas à moins que je ne m'inscrive d'abord à leur service et que j'ouvre un compte chez eux.

Ce n'est PAS la façon dont un site légitime est géré. Je ne leur ferais pas confiance aussi loin que je puisse les lancer. Utilisateurs, prenez garde.

0 votes

Voici le libellé exact de l'e-mail que j'ai reçu après avoir signalé le vol de mon contenu et son hébergement sur votre site : "Pour supprimer l'application demandée, nous avons besoin d'avoir l'URL exacte d'Aptoide où se trouve l'application et il n'est pas suffisant de nous envoyer une chaîne. Nous vous proposons ensuite de remplir le rapport d'abus que vous pouvez trouver ici : aptoide.com/report/abuse Pour soumettre le formulaire, veuillez vous enregistrer avec le même email de développeur Google Play et n'oubliez pas d'activer votre compte."

0 votes

J'ai nettoyé les commentaires ici. Merci d'avoir relaté votre expérience, regomar ; toute personne souhaitant en discuter avec vous devrait vous inviter à Chat entre passionnés d'Android .

androidalle.com

AndroidAlle est une communauté de androiders où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X