Je sais qu'il y a des problèmes avec l'utilisation de Aptoide pour installer des applications sur Android. Il y a une discussion assez intéressante à ce sujet dans cette autre question. Si l'on ne considère que les problèmes juridiques, Aptoide se situe définitivement dans une zone grise car certaines applications n'y sont pas légalement distribuées, contournant clairement les frais établis sur le Google Play Store ou violant les termes de licence. De plus, il y a des préoccupations selon lesquelles des logiciels malveillants pourraient être injectés dans les applications distribuées sur Aptoide, bien qu'ils fassent des efforts pour scanner les applications à la recherche de tels problèmes.
Cependant, je me demande si la mise à jour des applications pose les mêmes problèmes que l'installation de nouvelles applications. Disons que j'ai un ancien APK d'une application que j'ai achetée sur le Google Play Store, puis j'ai perdu l'accès à mes identifiants de magasin (j'ai perdu mon téléphone!) mais j'ai toujours l'APK de l'application qui traîne. Donc j'ai installé cette vieille version de l'application et je veux mettre à jour, mais sans racheter l'application.
Je comprends (mais je peux me tromper) qu'Android a une sorte de modèle de sécurité TOFU pour les applications : si vous avez installé une application, il y a une clé publique qui a signé l'APK et Android ne permettra pas les mises à jour de l'application si cette clé change. Par conséquent, si je met à jour une application en utilisant Aptoide, cette signature sera vérifiée et je peux réellement être (cryptographiquement) certain que la mise à jour de l'application provient effectivement de l'auteur original et n'a pas été altérée par Aptoide ou le gestionnaire du référentiel.
Est-ce une hypothèse raisonnable ?
