آیا فایل های APK ایمن هستند؟ Huawei در مورد امنیت، حفاظت و موارد دیگر صحبت می کند • تکنو بابل

بسیاری از ما بدون فکر کردن، یک برنامه را از Google Play یا اپ استور iOS دانلود می‌کنیم، مطمئن هستیم که شرکت‌های بزرگ پشت فروشگاه‌ها ما را از آسیب‌های دیجیتال در امان نگه می‌دارند. اگر یک گوشی اخیر هواوی دارید، باید برای نیازهای برنامه خود به AppGallery اعتماد کنید، و زمانی که یک برنامه در دسترس نیست، شما را به سمت نصب یک فایل APK از یک منبع غیر رسمی راهنمایی می کند.

اما آیا این فایل‌ها به همان اندازه ایمن هستند و هواوی برای اطمینان از اینکه در معرض خطر بدافزارها، ویروس‌ها و سرقت اطلاعات قرار نمی‌گیرید، چه می‌کند؟ Digital Trends با دکتر Jaime Gonzalo، معاون بخش خدمات موبایل هواوی در اروپا و فرناندو گارسیا کالوو، مدیر Huawei Petal Search Europe صحبت کرد تا متوجه شود.

APK چیست؟

قبل از اینکه خیلی جلوتر برویم، اجازه دهید در مورد فایل های APK صحبت کنیم. APK مخفف "Android Package Kit" است و فرمت فایلی است که برای نصب برنامه ها در Android استفاده می شود. فکر کنید که کمی شبیه یک فایل exe. برای ویندوز یا یک فایل dmg. برای MacOS است. به طور معمول، حداقل اگر از Google Play استفاده می کنید، هرگز با یک فایل APK سر و کار نخواهید داشت.

با این حال، هر کسی که یک گوشی اندرویدی دارد، می‌تواند برنامه‌ها را با استفاده از فایل‌های APK دانلود و نصب کند، عملی که اغلب از آن به عنوان «بارگذاری جانبی » یاد می‌شود. این فایل‌ها عموماً از طریق مخازن شخص ثالث توزیع می‌شوند، اگرچه برخی از شرکت‌ها به شما اجازه می‌دهند فایل‌های رسمی APK را مستقیماً دانلود کنید. هوآوی در سال 2019 دسترسی به فروشگاه Google Play را از دست داد و از آن زمان از برنامه جستجوی گلبرگ خود برای سوق دادن مالکان به سمت فایل‌های APK استفاده کرده است تا برنامه‌هایی را که فروشگاه خودش از دست داده است دریافت کند.

از آنجایی که این فرمت فقط یک فرمت فایل است، هیچ مشکل قانونی برای دانلود و نصب APK وجود ندارد. اما این نقض حق نسخه برداری یا شکستن شرایط و ضوابط برنامه موجود در فایل APK را نمی بخشد.

خوب – اما ایمن است؟

به دلیل نحوه توزیع و نصب فایل‌های APK بر روی تلفن، احتمال خطر امنیتی برنامه تا حدودی بیشتر از زمانی است که از فروشگاه رسمی استفاده می‌کنید. در اکثر تلفن‌های اندروید، بارگذاری جانبی یک برنامه، محافظت‌های ارائه شده توسط Google Play را دور می‌زند و ممکن است یک APK قبل از نصب در تلفن شما به گونه‌ای اصلاح شده باشد که شامل بدافزار باشد.

این امر هر کسی را که گوشی اخیر هوآوی داشته باشد در موقعیت دشواری قرار می دهد. چرا؟ وقتی برنامه‌ای را که در AppGallery موجود نیست جستجو کنید، جستجوی گلبرگ هواوی شما را به مخازن APK هدایت می‌کند. اگر توییتر، اینستاگرام، نتفلیکس، VSCO، Waze، تیم‌های مایکروسافت، برنامه Fitbit، Duolingo و بسیاری از برنامه‌های رایج و پرکاربرد دیگر را می‌خواهید، این اتفاق می‌افتد. Petal Search فایل‌های APK را از سایت‌هایی مانند APKPure، APKMonk، AppParks و Uptodown توصیه می‌کند.

ما می‌خواستیم بدانیم هواوی برای محافظت از شما در برابر آسیب هنگام استفاده از این سایت‌ها و فایل‌های APK آنها چه می‌کند. دکتر Jaime Gonzalo گفت که Petal Search فقط به سایت‌های در دسترس عموم نگاه می‌کند، نه آن‌هایی که از گوگل یا سایر موتورهای جستجو پنهان شده‌اند، و تنها به سایت‌هایی اشاره می‌کند که آنها را قانونی می‌داند. به عنوان مثال، سایت باید یک شرکت ثبت شده در اروپا یا ایالات متحده باشد، اما همانطور که گونزالو توضیح داد، هوآوی فراتر از این است.

هواوی چگونه بارگیری‌های APK را بررسی می‌کند

گونزالو با بیان تلاش‌های سطح بالای هوآوی برای بررسی اعتبار پیوندهای جستجوی گلبرگ سایت توضیح داد: «ابتدا، ما اطمینان حاصل می‌کنیم که منبع قابل اعتماد است و همه نتایج را روزانه بررسی می‌کنیم، و ایمنی و سازگاری دستگاه را بررسی می‌کنیم. به. ثانیاً، هنگامی که برنامه نصب می شود، کانال رمزگذاری می شود، بنابراین هر پیامی که خارج از فرآیند ارسال شود مسدود می شود. و سوم، ما یک فرآیند آنتی ویروس و بدافزار بلادرنگ داریم، به این معنی که در طول استفاده منظم [از سایت‌های APK] از شما محافظت می‌شود.»

وقتی برنامه‌ها را جستجو می‌کنید، سیستم هواوی ابتدا گالری برنامه را در اولویت قرار می‌دهد. اما اگر برنامه آنجا نباشد به دنبال منابع رسمی می گردد. اگر در هیچکدام نباشد، جستجو شامل منابع شخص ثالث می شود.

ما به محبوبیت سایت و برنامه برای ارزیابی اعتبار نگاه می‌کنیم و مطمئن می‌شویم که صفحه دارای آخرین نسخه برنامه موجود است، زیرا این صفحه معمولاً دارای آخرین وصله‌های امنیتی است. در پایان فرآیند، ما یک بررسی داخلی برای جستجوی بدافزار انجام می دهیم."

همه اینها قبل از نصب برنامه اتفاق می افتد – پس چه اتفاقی می افتد؟

«در خود دستگاه در حین بارگیری، یکپارچگی برنامه بررسی می‌شود تا APK دیگری را به صورت موازی دیکامپایل یا نصب نکند و نام برنامه تأیید شود. بعدی حفاظت از تهدیدات بدافزار و ویروس است، سپس حفاظت امنیتی هوش مصنوعی ما. این برنامه هر کاری غیرمنتظره انجام می دهد، مانند تلاش برای دسترسی به چیزی که نباید انجام دهد. اگر هوش مصنوعی این را تشخیص دهد، نصب را مسدود می کند. پس از این همه، اگر تهدیدی وجود نداشته باشد، می توان برنامه را نصب کرد.

گونزالو در مورد نصب فایل‌های APK گفت: «می‌توانیم بگوییم که خطر امنیتی کم است». فرناندو گارسیا کالوو به این اعتماد افزود و فاش کرد که از زمانی که هواوی در سال ۲۰۱۹ دسترسی به Google Play را از دست داد، ۸۳۰ میلیون برنامه با استفاده از سیستم جستجوی گلبرگ دانلود شده است و بیش از نیمی از آن ها از AppGallery نبوده اند. در طول این مدت، هیچ ادعای حق چاپ علیه آن صورت نگرفته است، هیچ شکایتی از توسعه دهندگان علیه سیستم وجود نداشته است، و هیچ شکایت رسمی کاربر در مورد بدافزار یا از دست دادن داده ها به دلیل وجود ویروس نیز وجود نداشته است.

همه APK ها یکسان ایجاد نمی شوند

مطمئناً به نظر می رسد هواوی برای ایمن نگه داشتن شما، تلفن و اطلاعات شخصی شما اقدامات زیادی انجام می دهد. اما در همه موارد دانلود فایل های APK را توصیه نمی کند. به عنوان مثال برنامه های بانکی را در نظر بگیرید. کالوو گفت هوآوی با بانک ها در مورد برنامه ها گفتگو کرده است.

او گفت: «ما آنها [بانک‌ها] را تشویق می‌کنیم تا برنامه‌ها را در گالری برنامه آپلود کنند. در ابتدا، ما اصلا تمایلی به نمایش فایل‌های APK برنامه‌های بانکی در جستجوی گلبرگ نداشتیم، اما متوجه شدیم که مردم می‌خواهند آنها را در هر صورت و بدون امنیت ما پیدا کنند. به همین دلیل، پیوندها در جستجوی گلبرگ برای برنامه‌های بانکی به نسخه وب بانک‌ها می‌روند و نه APK.

هوآوی هیچ رابطه تجاری با مخازن APK ندارد، اما گونزالو گفت که استفاده از مخازن APK را «با توجه به مدت زمانی که [سایت‌ها] راه‌اندازی کرده‌اند، قابل قبول و ایمن می‌داند». ما با APKPure، که یکی از توصیه‌های برتر هواوی در جستجوی گلبرگ است، تماس گرفتیم تا درباره این داستان نظر بدهیم. با این حال، این شرکت به ایمیل های ما پاسخ نداد.

هشدارهای هواوی تصویر واضحی را نشان می دهد

بدیهی است که هواوی از شما می‌خواهد که برنامه‌های مورد نظر خود را در تلفن خود دریافت کنید، و در حالی که تلاش می‌کند هنگام استفاده از سایت‌های APK شخص ثالث، شما را ایمن نگه دارد، تجربه روی خود گوشی همچنان ممکن است شما را نگران کند.

«دانلود برنامه‌ها از منابع خارجی ممکن است دستگاه‌ها و داده‌های شخصی شما را در معرض خطر بیشتری قرار دهد. با لمس کردن اجازه، نشان می‌دهید که این خطرات را می‌پذیرید.»

«برنامه‌های فهرست‌شده در زیر، از جمله محتوای مرتبط و صفحات، نتایج جستجوی اینترنتی هستند که به‌طور خودکار براساس کلمات کلیدی وارد شده شما تولید می‌شوند. AppGallery فقط این نتایج جستجو را نمایش می دهد و مسئولیتی در قبال محتوای آنها ندارد."

اینها تنها دو مورد از هشدارهایی هستند که هنگام دانلود هر برنامه غیرApp Gallery دریافت می کنید و در صورت بروز مشکل، Huawei را از هرگونه تعهد قانونی حذف می کند. علاوه بر این، علیرغم وعده‌هایی که به منابع رسمی قبل از منابع شخص ثالث لینک می‌دهد، جستجوی Petal همچنان مرا به سمت AppParks برای WhatsApp و Facebook قبل از منبع رسمی وب‌سایت سوق داد.

دانلود کننده مراقب باشید

افرادی که در زمینه امنیت یا توسعه برنامه کار می کنند در مورد فایل های APK چه فکر می کنند؟ دستیار پروفسور کوری فاکلاریس که در دانشگاه کارولینای شمالی در مورد امنیت قابل استفاده مطالعه می کند، در پیامی توییتری به Digital Trends گفت که دانلود فایل APK یا به طور کلی بارگذاری جانبی، وضعیتی است که «دانلودکننده مراقب باشید». او با کنار گذاشتن فایل‌های APK از منابع قابل اعتماد، گفت:

اگر فکر می‌کنید می‌توانید با یک بدافزار مقابله کنید یا خودتان برنامه را از نظر آسیب‌پذیری‌های امنیتی تجزیه و تحلیل کنید، و دستگاه تلفن همراه متعلق به شما است و فقط در یک شبکه خصوصی استفاده می‌شود، می‌توانم بگویم آن را دنبال کنید. اما من فایل‌های APK را برای تلفن‌هایی که به شبکه‌های عمومی یا شبکه‌های امن سازمانی مانند مشاغل یا مدارس متصل می‌شوند دانلود نمی‌کنم. پس شما نه تنها داده‌های خود را در معرض خطر قرار می‌دهید، بلکه هر کسی را که به طور بالقوه از طریق برنامه تلفن شما به شبکه متصل است در معرض هک قرار می‌گیرد.»

در مورد توسعه دهندگان چطور؟ Roscoe Juckett توسعه‌دهنده برنامه از طریق پیامی در توییتر به Digital Trends گفت که اگرچه مشکلی برای انتشار یک برنامه در سایت‌هایی مانند APKPure ندارد، اما همچنان نگرانی‌هایی دارد:

"نگرانی من این است که مردم آن را دانلود کنند، آلوده کنند و دوباره منتشر کنند"، با اشاره به مشکل مدیریت به‌روزرسانی‌ها برای رفع مشکلات خارج از فروشگاه رسمی. او افزود، شاید گویا باشد. "من همه برنامه های مشتری خود را در Google Play مستقر می کنم، هیچ کدام از من نخواسته اند در جای دیگری استقرار کنم."

در حالی که رسوایی های مربوط به مخازن APK چندان رایج نیستند، اما اتفاق می افتد. در آوریل 2021 Kaspersky یک عفونت تروجان را در برنامه تلفن همراه خود APKPure پوشش داد که از یک SDK تبلیغاتی مخرب آمده بود. در حالی که یک نگرانی است، برنامه‌های دانلود شده از منابع رسمی در گذشته حاوی تبلیغات مخرب و سایر اشکال بدافزار بوده‌اند، بنابراین مشکلی نیست که منحصر به یک مخزن APK باشد.

ایمنی تضمین نشده است

این واقعیت که بدافزار در برنامه‌های دانلود شده از Google Play یافت شده است، نشان می‌دهد که برنامه‌ها، به طور کلی، می‌توانند خطرات امنیتی داشته باشند – صرف نظر از اینکه از کجا دانلود می‌شوند. دارندگان تلفن های هوآوی که فایل های APK را برای برنامه ها دانلود می کنند، مسلماً نسبت به افرادی که از Google Play استفاده می کنند کمی کمتر محافظت می شوند، اما هواوی تلاش کرده است تا دانلود و نصب را ایمن کند. با این حال، هیچ کنترلی بر برنامه‌ها یا سایت‌های شخص ثالث ندارد و همانطور که هشدارهای آن در گالری برنامه نشان می‌دهد، شرکت هیچ مسئولیتی در قبال مشکلات ناشی از استفاده از آن برنامه‌ها ندارد.

این شما را کجا رها می کند؟ به دلیل اشتراک‌گذاری رویه‌های امنیتی و ایمنی هواوی، آرامش خاطری حاصل می‌شود، اما هشدارهای آن در گالری برنامه و جستجوی گلبرگ تأکید می‌کند که شما در اینجا کاملاً خودتان هستید. اگر نگران هستید، شاید باید از رفتار هواوی با اپلیکیشن های بانکی به عنوان فشارسنج استفاده کنید. اگر اطلاعات ذخیره شده یا ورودی در یک برنامه را حساس می‌دانید یا از آن برای کار استفاده می‌کنید، ممکن است استفاده از نسخه‌ای که منبع آن از یک مخزن غیر رسمی است توصیه نشود.

کوکی	مدت	توضیحات
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.