40 votos

¿Qué tan seguro es usar Aptoide?

Con la última actualización de Google Play, ya no se ve la lista completa de permisos solicitados por una aplicación al instalarla/actualizarla1, siento que mi privacidad está siendo invadida. Aún peor, una aplicación podría colar permisos adicionales con una actualización, y sin que el usuario lo sepa2,3.

Así que estoy buscando alternativas.

TL;DR:

Sé que tenemos ¿Cuáles son los mercados alternativos de aplicaciones para Android?, pero a) eso es más o menos una lista de otros mercados (sin dar antecedentes)4, y b) ni siquiera menciona Aptoide.

No quiero otra aplicación que tenga que estar en segundo plano permanentemente para "verificar la validez de la licencia", por lo que cosas como la Tienda de aplicaciones de Amazon o AndroidPIT quedan descartadas. AppBrain es solo otra interfaz para Google Play - así que por bueno que sea, no resuelve el problema, ya que para las instalaciones y actualizaciones de aplicaciones solo tiene que redirigir a Google Play - del cual prefiero "huir".

Ya he revisado F-Droid hace unos días, y considero que se ajusta bastante bien a mis necesidades (sigue el enlace para más detalles) - pero con apenas alrededor de 1.200 aplicaciones (hasta 6/2014) deja muchos vacíos.

Aptoide, por otro lado, se dice que ofrece más de 120.000 aplicaciones actualmente. Como su nombre lo sugiere, utiliza repositorios estilo APT, que estoy acostumbrado a usar en Linux (Debian y derivados). Incluso te permite tener tu propio repositorio privado para compartir aplicaciones entre dispositivos (o con amigos). Todas las aplicaciones se ofrecen de forma gratuita, por lo que no es necesario un "servidor de licencias". Pero, ¿qué tan seguro es para el usuario final? He buscado en Google (y en DuckDuckGo) durante horas, pero no pude encontrar ninguna fuente al respecto. En cambio, encontré muchos enlaces del tipo "obtén aplicaciones de pago de forma gratuita", "mercado negro" y otras cosas orientadas a la piratería, lo cual definitivamente no es lo que busco. Estoy más que dispuesto a pagar por aplicaciones buenas5, por lo que "obtenerlas de forma gratuita" no es la intención detrás de mi pregunta. Al igual que F-Droid, Aptoide tiene múltiples repositorios, pero no pude averiguar si hay un repositorio principal "de confianza" como con F-Droid.

Hay información relacionada disponible en la descripción del paquete (por ejemplo, esta), que indica medidas de seguridad como análisis de malware, validación de firmas y validación de terceros. Pero como muestra la página web correspondiente, esta información parece depender al menos en parte de la retroalimentación de los usuarios (que podría ser falsificada/manipulada) o ni siquiera se presenta al usuario (la información del paquete, por ejemplo, menciona 3 escáneres utilizados para la verificación, pero no puedo encontrar esta información en la página web). Si bien podría buscar información a través de la descripción del paquete, no puedo pedirle a mis padres de más de 70 años, por ejemplo, que lo hagan. En esta página, Aptoide también señala cómo ver los resultados de sus medidas de seguridad, y afirma explícitamente:

La plataforma anti-malware de Aptoide analiza aplicaciones en tiempo de ejecución y deshabilita posibles amenazas en todas las tiendas.

(Énfasis mío) - lo que sugiere una protección contra malware comparable a la de Google Play (¿cómo encajan eso con esos "rumores de mercado negro"? ¿Quizás simplemente no eliminan aplicaciones ofensivas, sino que solo las marcan en su lugar?).

Así que finalmente

La pregunta:

¿Hay alguna manera de usar Aptoide de forma segura como fuente de aplicaciones? Si es así, ¿cómo?6? Si no, ¿por qué no?

Puntos extra por una manera "a prueba de idiotas" que se pueda recomendar a usuarios menos experimentados.


Notas al pie

1 Sé que sería posible abrir la página web de la Tienda de aplicaciones de Google de la aplicación, desplazarse por ella y hacer clic en el enlace correspondiente cuando se encuentre, pero no se puede llamar a eso amigable para el usuario, ni esperar que los usuarios lo hagan en cada actualización.
2 por ejemplo, en la primera instalación solicitó el "incauto" READ_PHONE_STATE con la justificación habitual. Con una actualización, podría solicitar CALL_PHONE, PROCESS_OUTGOING_CALLS y otros - y la aplicación de Play no lo mencionaría, ya que pertenecen al "mismo grupo".
3 Para averiguar "nuevos permisos", habría que comparar los de la versión instalada con los de la actual. ¡Que te diviertas!
4 Acabo de editar dos respuestas y agregar algunos detalles sobre AppBrain y F-Droid para cubrir esos vacíos
5 He comprado muchas aplicaciones en Google Play (o he donado directamente al desarrollador), y por ejemplo, F-Droid tiene botones de donación en la página de cada aplicación para hacer esto posible
6 Puedo imaginar que al conocer (y limitar tu uso a) "repositorios seguros de Aptoide" esto podría lograrse. Pero como escribí, no pude averiguar cuáles considerar como "seguros". El artículo de Aptoide en Wikipedia sugiere que hay un "repo predeterminado" en la instalación, y más repos deben agregarse manualmente; así que podría ser seguro seguir con ese primero.

0 votos

Creo que una tienda de aplicaciones es tan segura como la confianza que tengas en los curadores o (en el caso de una tienda de aplicaciones completamente abierta) los desarrolladores que envían aplicaciones. En mi opinión, para Aptoide, lo pondría en la categoría "tan seguro como los desarrolladores de aplicaciones". Pero eso es porque no sé nada sobre los intereses de los curadores aquí. Espero que aunque hayan hecho más difícil averiguar si un desarrollador de aplicaciones está pidiendo más de lo que pedía por una versión anterior, Google tiene un interés en no permitir que aplicaciones maliciosas se propaguen por su ecosistema. No estoy seguro de los motivos de Aptoide.

0 votos

¡Gracias por los comentarios! En cuanto a Google Play, no me preocupo tanto por las "aplicaciones maliciosas" en el sentido común (aunque algunas de ellas se cuelan en el control de Google de vez en cuando), sino más bien por los "recolectores de datos" y cosas por el estilo (siendo Google uno de los más grandes). Y no estar seguro acerca de Aptoid es la razón por la que hago esta pregunta :) No quiero reemplazar un problema con otro. Y quiero estar seguro de lo que puedo recomendar a otros.

0 votos

¡Ah, qué tontería, marqué esto por error chicos, mis disculpas! Era una pregunta de Stack Overflow en la otra pestaña. ¡Eso es mi señal para tomar un descanso!

26voto

user64756 Puntos 76

Gracias por plantear estas preguntas. Aquí hay información sobre Aptoide que espero sea útil para ti y la comunidad de Stackexchange/Android:

  1. El malware es algo que tomamos muy en serio. Actualmente, contamos con 3 sistemas diferentes para detectar malware a medida que llegan a cualquier tienda de aplicaciones impulsada por Aptoide:
    • ejecutamos 3 antivirus diferentes en emuladores en tiempo de ejecución
    • tenemos un sistema interno de firmas para detectar amenazas recurrentes
    • hemos implementado una cadena de confianza basada en la firma del desarrollador
  2. La tarea de crear un entorno seguro para el usuario final es un objetivo en movimiento. Estamos trabajando con varias universidades y centros de investigación y en un artículo reciente (aún no publicado) nos comparamos bien con otras tiendas de aplicaciones. También propusimos un proyecto de investigación europeo con 2 empresas de antivirus y 3 universidades/centros de investigación para abordar este tema. Hay mucho trabajo por hacer y la retroalimentación de la comunidad es importante.
  3. F-Droid es de hecho muy similar a Aptoide. Son un fork de Aptoide y mantienen todos los conceptos que desarrollamos, como múltiples tiendas. Tienen un enfoque más centralizado y una firma central que por supuesto es diferente a nuestro enfoque.
  4. En Aptoide tenemos el sello "Trusted" (de confianza). Si ves el sello Trusted en una aplicación, estamos seguros en un 99.99% de que la aplicación no contiene una amenaza para el usuario final.

Saludos,
Paulo Trezentos (cofundador de Aptoide)

0 votos

¡Muchas gracias por tus detalles, Paulo! Aunque lo esperaba, es bueno tener estos detalles de primera mano. ¿Hay algo que decir sobre qué repositorios se consideran "más seguros" / "principales" (como el central en F-Droid, que además es, en mi opinión, el único que utiliza la firma central que mencionaste en 3.), para ser recomendado al "usuario más cauteloso" - ¿o todos son tratados de la misma manera? ¿Qué hay de esos "mercados negros" a los que Aptoide está tan a menudo relacionado? ¿Y está el sello "de confianza" de 4. de alguna manera codificado en el XML que he mencionado (para ser, por ejemplo, detectado automáticamente por un script)?

0 votos

@todos Los detalles faltantes me han sido enviados por correo, paralelamente a la publicación de Paulo aquí. Encuéntralos resumidos en mi respuesta a ¿Cuáles son los mercados alternativos de aplicaciones de Android?

0 votos

Respeto, me convenció

11voto

Izzy Puntos 45544

Después de la respuesta de Paulo, algunos intercambios de correos adicionales con él, ya escribí una descripción detallada en mi respuesta a otra pregunta - y también en un artículo en mi propio sitio: Mercados de Android: ¿Qué tan seguras son las fuentes alternativas?

A partir de eso, he estado vigilando de cerca Aptoide desde entonces, y todavía lo hago - así que permítanme agregar algunos detalles más (incluidos algunos puntos ya mencionados anteriormente, para contexto):

  • Aptoide no es un "único lugar para aplicaciones" como Google Play o la Amazon App-Store. Es más comparable a lo que Launchpad es para Ubuntu: Cualquiera y su hermanita puede abrir su propio repositorio aquí, que se presenta como una "tienda" separada de las demás. Sin embargo, hay una búsqueda global (para aplicaciones y tiendas).
  • Solo hay un repositorio que es "curado manualmente" por Aptoide mismo, llamado "Apps". Aquí es donde el equipo de Aptoide decide qué aplicaciones ingresan en el repositorio. Aquí yo...
    • no encontré ninguna aplicación "pirateada de pago", ya sea por dinero o gratis
    • verifiqué las firmas de algunas aplicaciones y las encontré coincidentes con las de Google Play para todas las que verifiqué
    • no recuerdo ninguna aplicación sin el sello de "confianza" (lo que significa que la aplicación marcada ha sido verificada en busca de malware con varios escáneres, incluido el "bouncer" propio de Aptoide, las firmas han sido verificadas para que coincidan con las de otros mercados (principalmente Google Play), y más - consulte mi respuesta ya mencionada en otra respuesta para obtener detalles sobre esto)

Así que mi conclusión es que, de hecho, es bastante seguro usar este repositorio.

Sin embargo, también he echado un vistazo a varios de los otros repositorios, donde de hecho se pueden encontrar muchas aplicaciones claramente "pirateadas" (las aplicaciones de pago de GPlay "gratis" siempre son una señal de eso). En esos lugares, a menudo faltaba el sello de "confianza" - pero en su lugar, con frecuencia encontré el sello de "sin confianza" - lo que significa que la aplicación probablemente estaba contaminada (los detalles diferían; la mayoría de las veces encontré que la firma era el problema: "se usó en otro lugar para firmar el paquete de otros desarrolladores" es 99% seguro que indica un "hackeo").


Resumiendo: Aquí no se puede dar una respuesta general (sería responder a la pregunta de si "la Tierra" es un lugar seguro para vivir). Qué tan seguro es usar Aptoide depende en gran medida de su elección del repositorio. Uno se sabe que es curado manualmente y, me atrevo a decir, tan seguro como Google Play, Amazon App Store y otros. Algunos se pueden suponer bastante seguros, especialmente si sabe algo sobre sus propietarios y se adhiere a las aplicaciones que muestran el escudo de "confianza".

Evite las aplicaciones que no tengan el escudo de "confianza" (actualmente verde), especialmente manténgase alejado de las que muestren el escudo de "sin confianza" (actualmente amarillo), lo mejor también es quedarse con el repositorio de Apps exclusivamente - y Aptoide debería ser un lugar seguro para usted.

Considero el repositorio de Apps lo suficientemente seguro como para enlazarlo desde mis listas de aplicaciones - junto con F-Droid y Google Play.

0 votos

Si "trusted", es decir, las aplicaciones verdes están verificadas utilizando una firma de Google Play, ¿por qué es mejor quedarse solo con el repositorio de aplicaciones?

0 votos

@hulkingtickets porque de esa manera no corres el riesgo de "tocar accidentalmente uno amarillo". Todos tenemos nuestros momentos en los que estamos distraídos (o "alguien más" está usando nuestro dispositivo).

4voto

Michael A. Puntos 101

Aptoide es un sitio conocido por la piratería de aplicaciones de Android. Si crees que cualquier sitio que distribuye software pirateado de manera consciente es seguro, estás siendo bastante optimista.

1 votos

No debes escribir algo que no puedas respaldar con fuentes. Lo que escribes es como decir "Windows siempre tiene virus", "los usuarios de computadoras son hackers", y similares. ¿Has leído siquiera la respuesta de usuario64756? Hay un repositorio curado y hay "repositorios privados". Lo que concierne al primero es controlado por el personal, lo cual no necesariamente se puede decir para el segundo.

3 votos

Basura. Aptoide ha sido un sitio pirata desde su inicio, y sigue obteniendo ganancias de la distribución de software pirata. Afirmar que el personal no puede ser responsable de lo que permiten y obtienen ganancias, es semántica en el mejor de los casos.

2 votos

Lo que escribes es como decir "Piratebay no es un sitio de piratería." :D

3voto

regomar Puntos 11

Recientemente lancé mi aplicación de Android Westward Dystopia en la tienda de Google Play ÚNICAMENTE y en cuestión de días encontré que estaba siendo ofrecida en Aptoide. Cuando contacté a la empresa para que eliminaran el contenido, me dijeron que no lo harían a menos que me registrara primero en su servicio y abriera una cuenta con ellos.

Así NO es como se maneja un sitio legítimo. No confiaría en ellos ni un poco. ¡Usuarios, tengan cuidado!

0 votos

Este es el texto exacto del correo electrónico que recibí después de informar sobre el robo de mi contenido y su alojamiento en su sitio: "Para eliminar la aplicación solicitada, necesitamos tener la URL exacta de Aptoide donde se encuentra la aplicación y no es suficiente enviarnos una cadena. 1.- Enviar una sola URL Luego le sugerimos que complete el Informe de abuso que puede encontrar aquí: aptoide.com/report/abuse Para enviar el formulario, regístrese con el mismo correo electrónico del desarrollador de Google Play y no olvide activar su cuenta."

0 votos

He limpiado los comentarios aquí. Gracias por compartir tu experiencia, regomar; cualquier persona que desee discutirlo contigo debería invitarte a Android Enthusiasts Chat.

PreguntAndroid.com

PreguntAndroid es una comunidad de usuarios de Android en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

X