Безопасны ли APK-файлы? Huawei рассказывает о безопасности, защите и многом другом
Большинство из нас загрузит приложение из Google Play или iOS App Store, не задумываясь, будучи уверенными, что гигантские корпорации, стоящие за магазинами, защищают нас от цифрового вреда. Если у вас есть последний телефон Huawei , вы должны полагаться на AppGallery для своих приложений, а когда приложение недоступно, оно указывает вам на установку APK-файла из неофициального источника.
Но так ли безопасны эти файлы, и что делает Huawei, чтобы убедиться, что вы не подвергаетесь риску из-за вредоносных программ, вирусов и кражи данных? Digital Trends поговорили с доктором Хайме Гонсало, вице-президентом Huawei Mobile Services Europe, и Фернандо Гарсия Кальво, директором Huawei Petal Search Europe, чтобы выяснить это.
Что такое АПК?
Прежде чем мы пойдем дальше, давайте поговорим об APK-файлах. APK означает «Android Package Kit» и представляет собой формат файла, используемый для установки приложений на Android. Думайте об этом как о файле .exe для Windows или файле .dmg для MacOS. Обычно, по крайней мере, если вы используете Google Play, вам никогда не придется иметь дело с файлом APK.
Тем не менее, любой, у кого есть телефон Android, может загружать и устанавливать приложения с помощью APK-файлов, что часто называют «загрузкой неопубликованных приложений». Эти файлы обычно распространяются через сторонние репозитории, хотя некоторые компании также позволяют загружать официальные APK-файлы напрямую. Huawei потеряла доступ к магазину Google Play в 2019 году и с тех пор использует свое приложение Petal Search, чтобы подтолкнуть владельцев к файлам APK, чтобы получить приложения, отсутствующие в собственном магазине.
Поскольку это просто формат файла, нет никаких юридических проблем с загрузкой и установкой APK. Но это не прощает нарушения авторских прав или нарушения условий приложения, содержащегося в APK-файле.
Хорошо, но безопасно ли это?
Из-за того, как файлы APK распространяются и устанавливаются на телефон, существует несколько большая вероятность того, что приложение представляет угрозу безопасности, чем при использовании официального магазина. На большинстве телефонов Android загрузка неопубликованного приложения обходит средства защиты, предлагаемые Google Play, и, возможно, APK-файл был изменен для включения вредоносного ПО перед установкой на ваш телефон.
Это ставит любого, у кого есть новый телефон Huawei, в затруднительное положение. Почему? Поиск лепестков Huawei приведет вас к репозиториям APK, когда вы будете искать приложение, недоступное в AppGallery. Это происходит, если вы хотите использовать Twitter, Instagram, Netflix, VSCO, Waze, Microsoft Teams, приложение Fitbit, Duolingo и многие другие часто используемые приложения. Petal Search рекомендует файлы APK с таких сайтов, как APKPure, APKMonk, AppParks и Uptodown.
Мы хотели понять, что делает Huawei, чтобы защитить вас от вреда при использовании этих сайтов и предоставляемых ими APK-файлов. Доктор Хайме Гонсало сказал, что Petal Search просматривает только общедоступные сайты, а не те, которые скрыты от Google или других поисковых систем, и что он ссылается только на сайты, которые считает законными. Например, сайт должен быть зарегистрирован компанией в Европе или США. Но Huawei выходит за рамки этого, как объяснил Гонсало.
Как Huawei тщательно проверяет загрузки APK
«Во-первых, мы обеспечиваем надежность источника и ежедневно проверяем все результаты, а также проверяем безопасность и совместимость устройства», — пояснил Гонсало, заявив, что компания Huawei прилагает максимальные усилия для проверки достоверности ссылок на сайт Petal Search. к. «Во-вторых, когда приложение установлено, канал шифруется, поэтому любые сообщения, отправленные вне процесса, будут заблокированы. И в-третьих, у нас есть процесс защиты от вирусов и вредоносных программ в режиме реального времени, что означает, что при регулярном использовании [сайтов APK] вы будете защищены».
При поиске приложений система Huawei в первую очередь отдает приоритет галерее приложений. Но если приложения нет, оно будет искать официальные источники. Если его нет ни в одном, поиск включает сторонние источники.
«Мы смотрим на популярность сайта и приложения, чтобы оценить их надежность, и следим за тем, чтобы на странице была доступна последняя версия приложения, поскольку на ней обычно установлены последние исправления безопасности. В конце процесса мы проводим внутреннюю проверку на наличие вредоносных программ».
Все это происходит до того, как приложение будет установлено — так что же происходит потом?
«На самом устройстве во время загрузки проверяется целостность приложения, чтобы оно не декомпилировало и не устанавливало параллельно другой APK, а также проверялось имя приложения. Далее следует защита от вредоносных программ и вирусных угроз, а затем наша собственная защита безопасности на основе ИИ. Это следит за тем, чтобы приложение делало что-то неожиданное, например, пыталось получить доступ к чему-то, чего оно не должно. Если ИИ обнаружит это, он заблокирует установку. После всего этого, если угроз нет, приложение можно установить».
Гонсало сказал: «Мы можем сказать, что риск для безопасности низкий» в отношении установки файлов APK. Фернандо Гарсия Кальво добавил этой уверенности, сообщив, что с тех пор, как Huawei потеряла доступ к Google Play в 2019 году, с помощью системы Petal Search было загружено 830 миллионов приложений, и более половины из них не были из AppGallery. За это время к ней не предъявлялось никаких претензий по авторским правам, жалоб разработчиков на систему не поступало, а также официальных жалоб пользователей на вредоносное ПО или потерю данных из-за вируса.
Не все APK одинаковы
Похоже, Huawei делает все возможное, чтобы защитить вас, ваш телефон и ваши личные данные. Но не во всех случаях рекомендуется загружать APK-файлы. Возьмем, к примеру, банковские приложения. Кальво сказал, что Huawei ведет переговоры с банками по поводу приложений.
«Мы призываем их [банки] загружать приложения в App Gallery», — сказал он. «Вначале мы вообще не хотели показывать APK-файлы банковских приложений в Petal Search, но поняли, что люди хотят найти их в любом случае и без нашей защиты. По этой причине ссылки в Petal Search для банковских приложений ведут на веб-версию банков, а не на APK».
У Huawei нет коммерческих отношений с репозиториями APK, но Гонсало сказал, что считает использование репозиториев APK «приемлемым и безопасным, учитывая количество времени, в течение которого [сайты] работают». Мы связались с APKPure, который является одним из лучших рекомендаций Huawei в Petal Search, чтобы прокомментировать эту историю. Однако компания не ответила на наши электронные письма.
Предупреждения Huawei рисуют ясную картину
Очевидно, что Huawei хочет, чтобы вы получали приложения, которые вам нужны, на свой телефон, и, хотя компания работает над тем, чтобы обеспечить вашу безопасность при использовании сторонних сайтов с APK, работа на самом телефоне может по-прежнему вызывать у вас беспокойство.
«Загрузка приложений из внешних источников может подвергнуть ваши устройства и личные данные большему риску. Нажимая «Разрешить», вы подтверждаете, что принимаете эти риски».
«Перечисленные ниже приложения, включая связанный контент и страницы, представляют собой результаты поиска в Интернете, автоматически генерируемые на основе введенных вами ключевых слов. AppGallery только отображает эти результаты поиска и не несет ответственности за их содержание».
Это всего лишь два предупреждения, которые вы получаете при загрузке любого приложения, не входящего в App Gallery, которые эффективно снимают с Huawei любые юридические обязательства, если что-то пойдет не так. Кроме того, несмотря на обещания, что он будет ссылаться на официальные источники, а не на сторонние источники, Petal Search по-прежнему подталкивал меня к AppParks для WhatsApp и Facebook, а не на официальный источник веб-сайта.
Остерегайтесь загрузчика
Что люди, работающие в сфере безопасности или разработки приложений, думают об APK-файлах? Ассистент профессора Кори Факларис , изучающая полезную безопасность в Университете Северной Каролины, сообщила Digital Trends в сообщении в Твиттере, что загрузка APK-файла или неопубликованная загрузка в целом — это ситуация «остерегайтесь загрузчика». Оставив в стороне APK-файлы из надежных источников, она сказала:
«Если вы думаете, что можете справиться с заражением вредоносным ПО или самостоятельно проанализировать приложение на наличие уязвимостей в системе безопасности, а мобильное устройство принадлежит вам и будет использоваться только в частной сети, я бы сказал, сделайте это. Но я бы не стал загружать APK-файлы на телефоны, подключенные к общедоступным сетям или защищенным сетям организаций, таких как предприятия или школы. Тогда вы подвергаете риску не только свои данные, но и любого, кто потенциально подвергается взлому через ваше телефонное приложение, подключенное к сети».
А разработчики? Разработчик приложений Роско Джакетт сообщил Digital Trends через сообщение в Твиттере, что, хотя у него нет проблем с выпуском приложения на таких сайтах, как APKPure, у него все еще есть проблемы:
«Меня беспокоит то, что люди будут загружать его, заражать и переиздавать», — ссылаясь на проблему управления обновлениями для устранения проблем вне официального магазина. Возможно, показательно, добавил он. «Я развертываю все приложения моего клиента в Google Play, ни одно из них не просило меня развертывать где-либо еще».
Хотя скандалы с репозиториями APK не так уж и распространены, они случаются. В апреле 2021 года «Лаборатория Касперского» прикрыла собственное мобильное приложение APKPure троянской инфекцией , которая пришла из вредоносного рекламного SDK. Несмотря на беспокойство, приложения, загруженные из официальных источников, в прошлом также содержали вредоносную рекламу и другие формы вредоносных программ , поэтому эта проблема не является уникальной для репозитория APK.
Безопасность не гарантируется
Тот факт, что вредоносное ПО было обнаружено в приложениях, загруженных из Google Play, показывает, что приложения в целом могут представлять угрозу безопасности — независимо от того, откуда они были загружены. Владельцы телефонов Huawei, загружающие APK-файлы для приложений, возможно, немного менее защищены, чем те, кто использует Google Play, но Huawei приложила усилия, чтобы сделать загрузку и установку безопасной. Однако он не имеет никакого контроля над приложениями или сторонними сайтами, и, как показывают его предупреждения в галерее приложений, компания не несет никакой ответственности за любые проблемы, возникающие в результате использования этих приложений.
Где это оставляет вас? Есть некоторое спокойствие, которое исходит от Huawei, который делится своими методами обеспечения безопасности, но его предупреждения в галерее приложений и поиске лепестков подчеркивают, что вы здесь очень сами по себе. Если вы беспокоитесь, возможно, вам следует использовать отношение Huawei к банковским приложениям в качестве барометра. Если вы считаете, что информация, хранящаяся или вводимая в приложение, является конфиденциальной или вы используете ее для работы, то использование версии, полученной из неофициального репозитория, может быть нецелесообразно.