Чи безпечні файли APK? Huawei розповідає про безпеку, захист та інше

Більшість з нас завантажують програми з Google Play або iOS App Store без зайвих роздумів, будучи впевненими, що гігантські корпорації, які стоять за магазинами, захищають нас від цифрової шкоди. Якщо ви є власником нового телефону Huawei, ви повинні покладатися на AppGallery для своїх потреб, і коли програма недоступна, вона вказує вам на встановлення файлу APK з неофіційного джерела.

• Що таке APK?
• Гаразд, але чи безпечно це?
• Як Huawei ретельно перевіряє завантаження APK
• Не всі APK створені рівними
• Попередження Huawei малюють чітку картину
• Завантажувач обережно
• Безпека не гарантована Показати ще 2 елементи

Але чи є ці файли однаково безпечними, і що робить Huawei, щоб переконатися, що ви не піддаєтеся ризику шкідливого програмного забезпечення, вірусів і крадіжки даних? Digital Trends поспілкувався з доктором Хайме Гонсало, віце-президентом Huawei Mobile Services Europe, і Фернандо Гарсія Кальво, директором Huawei Petal Search Europe, щоб дізнатися про це.

Що таке APK?

Перш ніж ми підемо далі, давайте поговоримо про файли APK. APK розшифровується як “Android Package Kit”, і це формат файлів, який використовується для встановлення додатків на Android. Подумайте про це, як про файл .exe для Windows або .dmg для MacOS. Зазвичай, принаймні, якщо ви використовуєте Google Play, вам ніколи не доведеться мати справу з файлом APK.

• Тільки що придбали новий iPhone? Ось 12 порад та підказок для його освоєння
• Pixel Feature Drops раніше були вражаючими – тепер вони жахливо посередні
• Супутниковий зв’язок в iPhone 14: як це працює, скільки коштує і не тільки

Однак кожен, хто володіє телефоном Android, може завантажувати та встановлювати програми за допомогою файлів APK, практику, яку часто називають “бічним завантаженням”. Ці файли, як правило, поширюються через сторонні репозиторії, хоча деякі компанії також дозволяють завантажувати офіційні APK-файли безпосередньо. Huawei втратила доступ до Google Play Store у 2019 році і з тих пір використовує свій додаток Petal Search, щоб підштовхнути власників до файлів APK, щоб отримати додатки, яких немає у власному магазині.

Оскільки це просто формат файлу, немає жодних юридичних проблем із завантаженням та встановленням APK. Але це не прощає порушення авторських прав або порушення умов і положень програми, що містяться в APK-файлі.

Гаразд, але чи безпечно це?

Через те, як файли APK поширюються та встановлюються на телефон, існує дещо більша ймовірність того, що додаток може становити загрозу безпеці, ніж коли ви використовуєте офіційний магазин. На більшості телефонів Android додаткове завантаження програми обходить захист, пропонований Google Play, і цілком можливо, що APK міг бути модифікований для включення шкідливого програмного забезпечення перед установкою на ваш телефон.

Це ставить у скрутне становище всіх, хто має нещодавно придбаний телефон Huawei. Чому? Пошук по пелюстках Huawei приведе вас до сховищ APK, коли ви шукаєте програму, недоступну в AppGallery. Це відбувається, якщо вам потрібні Twitter, Instagram, Netflix, VSCO, Waze, Microsoft Teams, додаток Fitbit, Duolingo та багато інших поширених, часто використовуваних додатків. Petal Search рекомендує файли APK з таких сайтів, як APKPure, APKMonk, AppParks і Uptodown.

Ми хотіли зрозуміти, що робить Huawei, щоб захистити вас від шкоди при використанні цих сайтів і APK-файлів, які вони надають. Д-р Хайме Гонсало сказав, що Petal Search розглядає тільки загальнодоступні сайти, а не ті, які приховані від Google або інших пошукових систем, і що він посилається тільки на ті сайти, які він вважає законними. Наприклад, сайт повинен бути зареєстрований компанією в Європі або США, але Huawei виходить за рамки цього, як пояснив Гонсало.

Як Huawei ретельно перевіряє завантаження APK

“По-перше, ми переконуємося, що джерело є надійним, і щодня перевіряємо всі результати, а також перевіряємо безпеку і сумісність для пристрою”, – пояснив Гонсало, розповівши про зусилля Huawei на найвищому рівні для перевірки надійності сайту, на який посилається Petal Search. “По-друге, коли додаток встановлюється, канал шифрується, тому будь-які повідомлення, надіслані поза процесом, будуть заблоковані. І по-третє, у нас є процес захисту від вірусів і шкідливого програмного забезпечення в режимі реального часу, що означає, що при регулярному використанні [сайтів APK] ви будете захищені”.

При пошуку додатків система Huawei спочатку надає пріоритет Галереї додатків. Але якщо програми там немає, вона шукає офіційні джерела. Якщо його немає ні в одному з них, пошук включає сторонні джерела.

“Ми дивимося на популярність сайту та додатку, щоб оцінити достовірність, і переконуємося, що на сторінці доступна остання версія додатку, оскільки вона зазвичай містить найновіші патчі безпеки. Наприкінці процесу ми проводимо внутрішню перевірку на наявність шкідливого програмного забезпечення”.

Все це відбувається до того, як додаток буде встановлений – що ж відбувається потім?

“На самому пристрої під час завантаження перевіряється цілісність додатку, щоб він не декомпілювався і не встановлював паралельно інший APK, а також перевіряється назва додатку. Далі йде захист від шкідливого програмного забезпечення та вірусних загроз, а потім наш власний захист безпеки за допомогою штучного інтелекту. Він стежить за тим, щоб додаток не робив нічого несподіваного, наприклад, не намагався отримати доступ до того, до чого не повинен. Якщо ШІ це виявить, він заблокує установку. Після всього цього, якщо немає ніяких загроз, додаток можна встановлювати”.

Гонсало сказав: “Ми можемо сказати, що ризик безпеки низький” щодо встановлення APK-файлів. Фернандо Гарсія Кальво додав до цієї впевненості, показавши, що з тих пір, як Huawei втратила доступ до Google Play в 2019 році, 830 мільйонів додатків були завантажені за допомогою системи Petal Search і більше половини були не з AppGallery. За цей час до неї не було пред’явлено жодних претензій з авторських прав, не було жодних скарг розробників на систему, а також офіційних скарг користувачів на шкідливе програмне забезпечення або втрату даних через вірус.

Не всі APK створені рівними

Huawei, безумовно, робить багато для того, щоб захистити вас, ваш телефон і ваші особисті дані. Але вона не рекомендує завантажувати файли APK у всіх випадках. Візьмемо для прикладу банківські додатки. Кальво сказав, що Huawei провела розмови з банками на тему додатків.

“Ми заохочуємо їх [банки] завантажувати додатки в App Gallery”, – сказав він. “Спочатку ми не хотіли показувати банківські додатки в Petal Search, але ми зрозуміли, що люди хочуть знайти їх в будь-якому випадку і без нашої безпеки. З цієї причини посилання в Petal Search на банківські додатки ведуть на веб-версії банків, а не на APK”.

Huawei не має ніяких комерційних відносин зі сховищами APK, але Гонсало сказав, що вважає використання сховищ APK “прийнятним і безпечним, з огляду на те, скільки часу [сайти] працюють і працюють”. Ми зв’язалися з APKPure, який є однією з найкращих рекомендацій Huawei в Petal Search, щоб прокоментувати цю історію. Однак компанія не відповіла на наші листи.

Попередження Huawei малюють чітку картину

Очевидно, що Huawei хоче, щоб ви отримували потрібні вам додатки на свій телефон, і хоча вона працює над тим, щоб забезпечити вашу безпеку при використанні сторонніх сайтів APK, досвід роботи на самому телефоні все ще може викликати занепокоєння.

“Завантаження додатків із зовнішніх джерел може піддати ваші пристрої та особисті дані більшому ризику. Натискаючи “Дозволити”, ви вказуєте, що приймаєте ці ризики”.

“Програми, перелічені нижче, включаючи пов’язаний вміст і сторінки, є результатами пошуку в Інтернеті, автоматично згенерованими на основі введених вами ключових слів. AppGallery лише відображає ці результати пошуку і не несе відповідальності за їхній вміст”.

Це лише два попередження, які з’являються при завантаженні будь-якого додатку не з App Gallery, що фактично звільняє Huawei від будь-яких юридичних зобов’язань, якщо щось піде не так. Крім того, незважаючи на обіцянки, що він буде посилатися на офіційні джерела перед сторонніми джерелами, Petal Search все одно підштовхнув мене до AppParks для WhatsApp і Facebook перед офіційним джерелом веб-сайту.

Завантажувач обережно

Що люди, які працюють в сфері безпеки або розробки додатків, думають про APK-файли? Доцент Корі Факларіс, яка вивчає безпеку використання в Університеті Північної Кароліни, розповіла Digital Trends в повідомленні в Twitter, що завантаження APK-файлів або завантаження в стороні в цілому – це ситуація “обережно, завантажувач”. Залишаючи осторонь файли APK з надійних джерел, сказала вона:

“Якщо ви думаєте, що зможете впоратися з зараженням шкідливим програмним забезпеченням або самостійно проаналізувати додаток на предмет вразливостей безпеки, а мобільний пристрій належить вам і буде використовуватися тільки в приватній мережі, я б сказала, що варто спробувати. Але я б не став завантажувати APK на телефони, які підключаються до загальнодоступних мереж або інституційних захищених мереж, таких як підприємства або школи. Тоді ви піддаєте ризику не тільки свої дані, але й дані будь-кого, хто потенційно може піддатися злому через ваш телефонний додаток, підключений до мережі”.

А як щодо розробників? Розробник додатків Роско Джекетт (Roscoe Juckett) повідомив Digital Trends через повідомлення в Twitter, що, хоча у нього немає проблем з випуском додатків на таких сайтах, як APKPure, у нього все ще є побоювання:

“Я стурбований тим, що люди завантажать його, заразять і перевидадуть”, маючи на увазі проблему подальшого управління оновленнями для вирішення проблем за межами офіційного магазину. Можливо, красномовно він додав. “Я розгортаю всі програми мого клієнта в Google Play, і жоден з них не просив мене розгортати їх деінде”.

Завантаження APK-файлів, або сайдлоад, в цілому, є ситуацією, в якій “завантажувач повинен бути обережним”.

Хоча скандали, пов’язані зі сховищами APK, трапляються не так часто, вони все ж трапляються. У квітні 2021 року “Касперський” виявив троянську інфекцію у власному мобільному додатку APKPure, яка прийшла зі шкідливого рекламного SDK. Хоча це і викликає занепокоєння, але додатки, завантажені з офіційних джерел, також містили шкідливу рекламу та інші форми шкідливого програмного забезпечення в минулому, тому це не проблема, яка є унікальною для сховища APK.

Безпека не гарантується

Той факт, що в додатках, завантажених з Google Play, було виявлено шкідливе програмне забезпечення, свідчить про те, що додатки в цілому можуть становити загрозу безпеці – незалежно від того, звідки вони завантажені. Власники телефонів Huawei, які завантажують APK-файли для додатків, можливо, трохи менш захищені, ніж будь-хто, хто використовує Google Play, але компанія Huawei доклала зусиль, щоб зробити завантаження та встановлення безпечним. Однак вона не має жодного контролю над додатками або сторонніми сайтами, і, як показують її попередження в Галереї додатків, компанія не несе жодної відповідальності за будь-які проблеми, пов’язані з використанням цих додатків.

Що це залишає вам? Існує певний душевний спокій, який приходить від того, що Huawei ділиться своїми методами безпеки і захисту, але його попередження в Галереї додатків і Petal Search підкреслюють, що ви тут в значній мірі самі по собі. Якщо ви хвилюєтеся, можливо, вам слід використовувати ставлення Huawei до банківських додатків в якості барометра. Якщо ви вважаєте інформацію, що зберігається або вводиться в додаток, конфіденційною або використовуєте його для роботи, то використання версії з неофіційного репозиторію може бути недоцільним.

Рекомендації редакції

• Samsung Galaxy S23: дата виходу, характеристики, ціна, чутки та новини
• Ця прихована функція iOS 16 перетворила мій iPhone в ідеальний гаджет для пошуку музики
• Apple може зробити немислиме – дозволити стороннім магазинам додатків для iPhone
• Tidal дає бета-тестерам функцію живого діджея
• Секрет, як допомогти літнім людям вийти в Інтернет, знаходиться прямо перед нами

Source: digitaltrends.com