就像Google Play的最新更新一样,现在人们可以更长久地看到应用在install / update1上请求的权限的完整列表,我感到自己的隐私受到侵犯。更糟糕的是,应用可能会在没有用户知道的情况下通过更新获得其他权限。2,3。
所以我正在寻找替代产品。
; TL; DR:
我知道我们已经有了什么替代Android应用程序市场?但是,a)或多或少地列出了其他市场(不提供背景)4,并且b)甚至没有提到Aptoide。
我不想要其他应用程序必须永久在后台运行以“检查许可证的有效性”,因此Amazon Appstore或AndroidPIT之类的产品就不存在了。 AppBrain只是Google Play的另一个前端-很好,它不能解决问题,至于应用安装和更新,它只需要重定向到Google Play-我想将其“ fbr“。
几天前我已经签出了F-Droid,感觉它很符合我的需求(请查看链接以获取详细信息)–但是只有约1.200个应用(截至2014年6月)留下太多的空白。
另一端的Aptoide目前可提供超过120.000个应用程序。顾名思义,它使用APT样式存储库,我从Linux(Debian和派生服务器)就习惯了这种存储库。它甚至允许您拥有自己的私人存储库,以在设备之间(或与朋友)共享应用程序。所有应用程序都是免费提供的,因此不需要“许可证服务器”。但是对最终用户来说有多安全?我已经搜索了数小时,但找不到任何相关信息。取而代之的是,我找到了很多类型的链接,例如“免费获得付费应用程序”,“黑市”以及其他面向盗版的内容,这绝对不是我所追求的。我愿意为优质的应用程序付费5,因此“免费获得它们”并不是我提出这个问题的意图。像F-Droid一样,Aptoide有多个存储库–但是我无法弄清楚是否有像F-Droid那样的“可信任”主存储库。
软件包说明中有相关信息(例如此信息)可用,指示安全措施,例如恶意软件扫描,签名验证和第三方验证。但是,如相应的网页所示,此信息似乎至少部分依赖于用户反馈(可能是伪造的/操纵的),甚至没有提供给用户(包装信息,例如用于检查的3个扫描仪名称,在网页上找不到此信息)。虽然我可以通过包裹信息查找信息,但是我不能问例如我70岁以上的父母就是这样做的。在此页面上,Aptoide还指出了如何查看其安全措施的结果,并明确指出:

Aptoide防恶意软件平台会在运行时分析应用程序并禁用所有商店中的潜在威胁。 />
(强调我的)–表示可与Google Play相比的恶意软件保护(这与那些“黑市谣言”如何结合?也许他们只是不删除有问题的应用程序,而只是对其进行标记而是?)。
所以最后是
问题:
是否有一种方法可以安全地将Aptoide用作应用程序的源?如果可以,怎么办?6如果不能,为什么不呢?
奖励给“白痴证明”方式,可以向经验不足的用户推荐。

脚注
1我知道可以打开该应用程序的Google Play商店网页,滚动浏览,然后在找到时单击相应的链接-但您不能称其为用户友好型,或者希望用户在每次更新时都这样做。 2例如首次安装时,它会以通常的理由要求“毫无怀疑”的READ_PHONE_STATE。进行更新后,它可能会请求CALL_PHONEPROCESS_OUTGOING_CALLS以及其他消息-而Play应用不会显示该消息,因为它们属于“同一组”。3要计算“新权限”,必须比较已安装的权限。版本与当前版本相同。玩得开心!4我刚刚编辑了两个答案,并在AppBrain和F-Droid上添加了一些详细信息以填补这些空白5我在Google Play上购买了很多应用程序(或直接捐赠给开发人员),例如F-Droid在每个应用程序的页面上都有捐赠按钮,以实现这一目标6,我可以通过知道(并限制您使用)“安全Aptoide存储库”来实现这一目标。但是正如我写的那样,我不知道该考虑哪些是“安全的”。 Wikipedia上的Aptoide文章建议安装时有一个“默认存储库”,需要手动添加更多存储库。因此它可能坚持第一个是安全的。

评论

我认为应用商店就像您对策展人或提交应用的开发人员(对于完全开放的应用商店)的信任一样安全。恕我直言,对于Aptoide,我将其归类为“与应用开发者一样安全”。但这是因为我对策展人的兴趣一无所知。我希望,即使他们只是更难弄清某个应用程序开发人员对旧版本的要求是否超过其要求,但Google对避免恶意应用程序在其整个生态系统中传播产生了既得利益。不确定Aptoid的动机。

感谢您的评论!至于Google Play,我对一般意义上的“恶意应用”并不那么在意(尽管其中有些偶尔会偶尔通过Google的控制),而对于“数据收集器”和一样(Google是最大的公司之一)。而且我不确定这个问题的原因是我问这个问题:)我不想用另一个问题代替问题。而且我想确定我可以推荐别人的东西。

糟糕,我错误地标记了这些人,我很抱歉!这是另一个选项卡中的堆栈溢出问题。这是我休息的提示!

您遗漏了一个重要的观点-Aptoide甚至提供了一个应用程序升级过程来通知您权限更改吗?鉴于使用分散且盗版猖rid的基础架构时安全性和安全性明显下降,它除了不属于Google之外,还应提供一些好处。如果您担心偷偷摸摸的数据收集,我想说当您从店面获取具有成批上传的应用程序,而不是由开发人员上传(可能已修改)的应用程序时,您处于更大的危险中。

@ProjectJourneyman Google Play不会提供有关更新的提示(如果将新权限添加到“同一组”中)。由于Aptoide,F-Droid和其他处于“第三方市场”的市场,他们总是必须调用“本地软件包安装程序”,该文件会向您显示要更新/安装的应用程序的所有权限,然后才能继续安装。但是,不幸的是,与当前版本不是“差异”。

#1 楼

感谢您提出这些问题。以下是一些有关Aptoide的信息,希望对您和Stackexchange / Android社区有用:


恶意软件是我们非常重视的事情。当前,我们有3种不同的系统来检测恶意软件在任何Aptoide支持的应用程序商店中的到达状态:


我们在运行时在模拟器中运行3种不同的防病毒软件
我们拥有内部的签名系统来检测重复出现的威胁
我们已经基于开发人员的签名实施了信任链


创建安全环境的任务最终用户是一个移动目标。我们正在与数所大学和研究中心合作,在最近的一篇文章(尚未发表)中,我们与其他应用商店进行了比较。我们还与2个反病毒公司和3个大学/研究中心一起提出了一项欧洲研究项目,以解决这个问题。有很多工作要做,社区的反馈很重要。
F-Droid实际上与Aptoide非常相似。它们是Aptoide的分支,并且保留了我们开发的所有概念,例如多家商店。他们有一个更加集中的方式和一个中央签名,这当然与我们的方式有所不同。
在Aptoide,我们拥有“受信任”的邮票。如果您在应用程序中看到“受信任的邮票”,则表示我们有99.99%的把握认为该应用程序不会对最终用户构成威胁。

最好,
Paulo Trezentos(Aptoide联合创始人)

评论


Paulo,非常感谢您的详细信息!尽管我也期望如此,但最好能第一手掌握这些细节。关于哪些存储库被认为是“更安全” /“主要”(关于F-Droid的中央存储库–除了IMHO唯一使用您在3中提到的中央签名的存储库),还有什么要说的吗? “更加谨慎的用户” –还是他们都受到类似的威胁?那些经常与Aptoide相关的“黑市”呢?并且以某种方式在我提到的XML中编码了“受信任”的4.邮票(例如由脚本自动检测)吗?

– Izzy♦
2014年6月24日15:16

@all缺少的详细信息已通过邮件发送给我,与Paulo在此处的帖子类似。在我对什么是替代Android应用市场的回答中找到它们的总结。

– Izzy♦
14年6月25日在8:28

尊重,说服我

–l0Ft
16年1月2日在17:32

恶意软件是我们非常重视的事情真的吗?我通过他们的网络表单报告了一个潜在的问题,一周后没有任何反应。见aptoide如何报告潜在的滥用情况而没有成为成员

– k3b
16年6月3日,9:49

感谢您在这里回答。您能否另外说明为什么apk的证书与原始证书不同,为什么即使原始文件与这些应用程序都没有连接,apk也会注入“ facebook”,“ airbnb”或“ smaato.soma”之类的文件夹?我说的是“受信任的”应用,例如WhatsApp。

– kaiya
20 Sep 15'11:56



#2 楼

在Paulo回答之后,与他进行了更多邮件往来,我已经在回答另一个问题时写了详细的说明-还在我自己的网站上的一篇文章中写道:Android电子市场:替代来源的安全性如何?
,从那时起,我一直密切关注Aptoide,现在仍然如此–因此,让我添加一些其他细节(包括之前已经提到的一些要点): Google Play或Amazon App Store等“应用程序的单个区域”。它与Ubuntu的Launchpad相当:每个人和他的妹妹都可以在此处打开自己的存储库,该存储库以与其他存储库分开的“存储库”的形式显示。不过,存在一个全球搜索(针对应用程序和商店)。
只有一个由Aptoide本身“手动策划”的存储库,称为“应用程序”。 Aptoide团队在这里决定要进入存储库的应用程序。在这里我…

找不到一个“盗版付费应用”,无论是钱还是免费的
检查了某些应用的签名,发现它们与Google Play的签名完全匹配我检查了
不记得有没有“受信任”标记的应用程序(这意味着已使用多个扫描仪(包括Aptoide自己的“保镖”)对如此标记的应用程序进行了恶意软件检查,签名已经过验证,与其他市场(主要是Google Play)等等-有关此问题的详细信息,请参阅我已经提到的其他答案。



所以我的结论是实际上使用起来非常安全此存储库。
但是,我也研究了其他几个存储库–在这些存储库中,您确实可以找到很多明显的“盗版应用程序”(从GPlay付费的应用程序“免费”总是表明这一点)。在这些地方,不仅经常丢失“受信任”的邮票,而且我经常发现“不受信任”的邮票,这意味着该应用可能已被污染(细节有所不同;大多数情况下,我发现签名是问题所在:“曾在其他地方用于签署其他开发人员软件包”,则有99%的人肯定表示“黑客”)。


总结:此处无法给出一般答案(这将回答问题) “地球”是否是安全的居住地)。使用Aptoide的安全性在很大程度上取决于您对存储库的选择。众所周知,其中一项是手动管理的,我敢说,它像Google Play,Amazon App Store等一样安全。可以认为其中一些是非常安全的-特别是如果您对所有者的了解很深,并坚持使用显示“受信任”盾的应用。
避免为应用分配未分配(当前为绿色)的“受信任”盾,尤其是保留非常清楚那些显示(当前为黄色)“不受信任”标记的标记,最好还是单独使用Apps储存库-Aptoide应该是您的安全场所。

我认为Apps储存库足够安全从我的应用列表中链接它-在F-Droid和Google Play旁边。

评论


如果使用Google Play的签名来验证“绿色”应用程序是否为“受信任”,为什么最好只坚持使用Apps存储库呢?

–Hulkingtickets
15年7月10日在18:08

@hulkingtickets,因为这样您就不必冒“意外击中黄色”的风险。我们都有分散我们注意力的时刻(或者“其他人”正在使用我们的设备)。

– Izzy♦
15年7月10日在18:41

#3 楼

Aptoide是已知的Android应用程序盗版网站。如果您认为任何有意发行盗版软件的网站都是安全的,那么您会非常乐观。

评论


您不应该写一些无法按来源备份的内容。您所写的内容就像是说“ Windows总是有病毒”,“计算机用户是黑客”等等。您甚至还阅读了user64756的答案吗?有一个策展的存储库,并且有“私有存储库”。前者是由员工控制的-后者不一定可以说。

– Izzy♦
15年1月29日在13:22

垃圾。自成立以来,Aptoide一直是一个盗版网站,并且继续从分发盗版软件中获利。声称员工不能为其启用的功能和从中获利承担责任,这是最好的语义。

– Michael A.
15年1月29日在13:45

您写的内容就像是在说“ Piratebay不是海盗网站”。 :D

– Michael A.
15年1月29日在13:46

不要让我笑。 aptoide的首页公开宣传盗版产品。会说“哦,但是该站点的这个小角落很干净”……是的,我们之前听说过那个。同样的“哦,但是我们的洪流站点仅链接到该材料,我们无法控制发布的内容”。

– Michael A.
2015年1月29日在21:17



我不会和你争论。我与Paulo保持了一段时间联系,并且我已经观察到Aptoide大约一年了。他们目前拥有自己的存储库,其中包含将近50.000个应用程序,这些应用程序绝对是干净的-并提供所有人打开和维护自己的存储库的权限,他们无法在其中担保内容。您可以报告“ ilk”,它会被删除-但是他们自己不会“去狩猎”。 //由于小偷和黑手党成员使用银行帐户,因此我建议您也不要使用银行帐户,因为银行职员也只会检查是否被告知(对不起,无法抗拒;)不要把婴儿和洗澡水一起扔出去; )

– Izzy♦
15年1月29日在22:27

#4 楼

我最近在Google Play商店上仅发布了我的Android应用程序Westward Dystopia,几天之内就发现它在Aptoide上提供。当我与公司联系以删除内容时,他们告诉我除非我先注册他们的服务并在他们那里开设一个帐户,否则他们不会这样做。

这不是运行合法站点的方式。我不会完全相信他们。用户要当心。

评论


报告您的内容被盗并在您的网站上托管后,这是我收到的电子邮件中的确切措词:“要删除所请求的应用程序,我们需要在应用程序所在的位置具有确切的Aptoide URL,但不足以给我们发送一个字符串。1.-提交单个URL然后,我们建议您填写可在此处找到的滥用报告:aptoide.com/report/abuse要提交表单,请向同一Google Play开发者的注册电子邮件,别忘了激活您的帐户。”

– regomar
2015年2月7日下午13:18

我已经整理了这里的评论。感谢您提供宝贵的经验,regomar;希望与您讨论此问题的任何人都应邀请您参加Android爱好者聊天。

–马修·雷德(Matthew Read)
2015年3月4日,2:11