Comme pour la dernière mise à jour de Google Play on ne voit plus la liste complète des permissions demandées par une application lors de l'installation/mise à jour 1 je sens que ma vie privée est envahie. Pire encore, une application peut introduire en douce des autorisations supplémentaires lors d'une mise à jour, sans que l'utilisateur le sache 2,3 .
Je cherche donc des alternatives.
TL;DR :
Je sais que nous avons Quels sont les autres marchés d'applications Android ? mais a) il s'agit plus ou moins d'une liste d'autres marchés (sans donner d'arrière-plan). 4 et b) il ne mentionne même pas Aptoide .
Je ne veux pas d'une autre application qui doit fonctionner en arrière-plan en permanence pour "vérifier la validité de la licence", donc des choses comme l'application Amazon Appstore o AndroidPIT sont sortis. AppBrain est juste un autre frontal pour Google Play - aussi sympathique soit-il, il ne résout pas le problème, car pour les installations et les mises à jour d'applications, il faut simplement rediriger vers Google Play - que je suis plutôt sur le point de "fuir".
J'ai déjà vérifié F-Droid il y a quelques jours, et je pense qu'il correspond assez bien à mes besoins (suivez le lien pour plus de détails) - mais avec environ 1.200 applications (à partir de 6/2014) il laisse trop de lacunes.
Aptoide à l'autre bout servirait plus de 120 000 applications. actuellement. Comme son nom l'indique, il utilise APT que j'ai l'habitude d'utiliser sous Linux (Debian et dérivés). Il vous permet même d'avoir votre propre dépôt privé pour partager des applications entre appareils (ou avec des amis). Toutes les applications sont offertes gratuitement, donc pas besoin d'un "serveur de licences". Mais quelle est la sécurité pour l'utilisateur final ? J'ai cherché sur Google (et dans les moteurs de recherche) pendant des heures, mais je n'ai trouvé aucune source à ce sujet. Au lieu de cela, j'ai trouvé beaucoup de liens du type "obtenir des applications payantes gratuitement", "marché noir", et d'autres trucs axés sur le piratage - ce qui n'est absolument pas ce que je recherche. Je suis plus qu'ouvert à l'idée de payer pour de bonnes applications. 5 Je n'ai donc pas l'intention de vous demander de les obtenir gratuitement. Comme F-Droid , Aptoide a plusieurs dépôts - mais je n'ai pas pu déterminer s'il y a un dépôt principal "fiable" comme dans le cas de F-Droid .
Des informations connexes sont disponibles dans la description du paquet (par ex. celui-ci ) indiquant des mesures de sécurité telles que l'analyse des logiciels malveillants, la validation des signatures et la validation par un tiers. Mais comme le page web correspondante montre que ces informations semblent reposer, au moins en partie, sur les commentaires des utilisateurs (qui pourraient être falsifiés ou manipulés), ou qu'elles ne sont même pas présentées à l'utilisateur (les informations sur le paquet mentionnent par exemple les trois scanners utilisés pour la vérification, mais je ne trouve pas cette information sur la page Web). Si je suis capable de rechercher des informations via les informations sur le paquet, je ne peux pas demander à mes parents de plus de 70 ans de le faire. Sur cette page , Aptoide indique également comment voir les résultats de leurs mesures de sécurité, et déclare explicitement :
La plateforme Aptoide Anti-Malware analyse les applications en cours d'exécution et désactive les menaces potentielles. dans tous les magasins.
(souligné par moi) - ce qui suggère une protection contre les logiciels malveillants comparable à celle de Google Play (comment cela va-t-il de pair avec ces "rumeurs de marché noir" ? Peut-être qu'ils n'ont tout simplement pas supprimer les applications incriminées, mais seulement marque à la place ?).
Alors finalement
La question :
Y a-t-il un moyen d'utiliser en toute sécurité Aptoide comme source pour les applications ? Si oui, comment ? 6 Si non, pourquoi ?
Les points bonus pour une méthode "à l'épreuve des idiots" qui pourrait être recommandée aux utilisateurs moins expérimentés.
Notes de bas de page
1 Je sais qu'il serait possible d'ouvrir le Google Play Store Mais on ne peut pas dire que ce soit convivial, ni s'attendre à ce que les utilisateurs fassent cela à chaque mise à jour.
2 Par exemple, lors de la première installation, il a demandé au "non méfiant" READ_PHONE_STATE
avec la justification habituelle. Avec une mise à jour, il pourrait demander CALL_PHONE
, PROCESS_OUTGOING_CALLS
et d'autres encore - et l'application Play ne le fait pas apparaître, car ils appartiennent au "même groupe".
3 Pour connaître les "nouvelles permissions", il fallait comparer celles de la version installée avec celles de la version actuelle. Amusez-vous bien !
4 Je viens d'éditer deux réponses et d'ajouter quelques détails sur AppBrain y F-Droid pour combler ces lacunes
5 J'ai acheté beaucoup d'applications sur Google Play (ou donné directement au dev), et par ex. F-Droid a des boutons de donation sur la page de chaque application pour rendre cela possible
6 Je pourrais imaginer qu'en connaissant (et en limitant votre utilisation à) des "dépôts Aptoide sûrs", cela pourrait être réalisé. Mais comme je l'ai écrit, je n'ai pas pu déterminer lesquels considérer comme "sûrs". Le site Article sur l'aptoide sur Wikipédia suggère qu'il y a un "dépôt par défaut" à l'installation, et que d'autres dépôts doivent être ajoutés manuellement ; il se peut donc que s'en tenir au premier soit sûr.
0 votes
Je pense qu'un magasin d'applications est aussi sûr que votre confiance dans les conservateurs ou (dans le cas d'un magasin d'applications entièrement ouvert) dans les développeurs qui proposent des applications. À mon avis, pour Aptoide, je le placerais dans la catégorie "aussi sûr que les développeurs d'applications". Mais c'est parce que je ne sais rien des intérêts des conservateurs ici. J'ose espérer que, même s'il est devenu plus difficile de savoir si un développeur d'applications demande plus que ce qu'il demandait pour une version précédente, Google a tout intérêt à ce que des applications malveillantes ne se répandent pas dans son écosystème. Je ne suis pas sûr des motivations d'Aptoid.
0 votes
Merci pour les commentaires ! En ce qui concerne Google Play, je ne suis pas tellement préoccupé par les "applications malveillantes" au sens commun (bien que plusieurs d'entre elles échappent au contrôle de Google de temps en temps), mais plutôt par les "collecteurs de données" et autres (Google étant l'un des plus importants). Et le fait de ne pas être sûr d'Aptoid est la raison pour laquelle je pose cette question :) Je ne veux pas remplacer un problème par un autre. Et je veux savoir avec certitude ce que je peux recommander aux autres.
0 votes
Ah merde, j'ai marqué ça par erreur les gars, toutes mes excuses ! C'était une question Stack Overflow dans l'autre onglet. C'est mon signal pour faire une pause !
0 votes
Vous avez omis un point important : Aptoide propose-t-il un processus de mise à jour des applications qui vous informe des changements de permission ? Compte tenu de la diminution évidente de la sécurité et de la sûreté lors de l'utilisation d'une infrastructure décentralisée et pirate, il devrait y avoir d'autres avantages que de ne pas être Google. Si vous vous inquiétez de la collecte sournoise de données, je dirais que vous êtes plus en danger lorsque vous obtenez des applications d'une vitrine avec des applications téléchargées en masse et non par les développeurs (et éventuellement modifiées).
1 votes
@ProjectJourneyman Google Play ne donne pas de tels indices lors de la mise à jour (si de nouvelles permissions sont ajoutées au "même groupe"). Avec Aptoide, F-Droid, et d'autres étant des "marchés tiers", ils doivent toujours invoquer le "local package installer", qui vous montre tous les permissions de l'application à mettre à jour/installer antes de vous pouvez procéder à l'installation. Bien que, malheureusement, il ne s'agisse pas d'une "diff" par rapport à la version actuelle.