بسیاری از ما بدون فکر کردن، یک برنامه را از Google Play یا اپ استور iOS دانلود میکنیم، مطمئن هستیم که شرکتهای بزرگ پشت فروشگاهها ما را از آسیبهای دیجیتال در امان نگه میدارند. اگر یک گوشی اخیر هواوی دارید، باید برای نیازهای برنامه خود به AppGallery اعتماد کنید، و زمانی که یک برنامه در دسترس نیست، شما را به سمت نصب یک فایل APK از یک منبع غیر رسمی راهنمایی می کند.
اما آیا این فایلها به همان اندازه ایمن هستند و هواوی برای اطمینان از اینکه در معرض خطر بدافزارها، ویروسها و سرقت اطلاعات قرار نمیگیرید، چه میکند؟ Digital Trends با دکتر Jaime Gonzalo، معاون بخش خدمات موبایل هواوی در اروپا و فرناندو گارسیا کالوو، مدیر Huawei Petal Search Europe صحبت کرد تا متوجه شود.
APK چیست؟
قبل از اینکه خیلی جلوتر برویم، اجازه دهید در مورد فایل های APK صحبت کنیم. APK مخفف "Android Package Kit" است و فرمت فایلی است که برای نصب برنامه ها در Android استفاده می شود. فکر کنید که کمی شبیه یک فایل exe. برای ویندوز یا یک فایل dmg. برای MacOS است. به طور معمول، حداقل اگر از Google Play استفاده می کنید، هرگز با یک فایل APK سر و کار نخواهید داشت.
با این حال، هر کسی که یک گوشی اندرویدی دارد، میتواند برنامهها را با استفاده از فایلهای APK دانلود و نصب کند، عملی که اغلب از آن به عنوان «بارگذاری جانبی » یاد میشود. این فایلها عموماً از طریق مخازن شخص ثالث توزیع میشوند، اگرچه برخی از شرکتها به شما اجازه میدهند فایلهای رسمی APK را مستقیماً دانلود کنید. هوآوی در سال 2019 دسترسی به فروشگاه Google Play را از دست داد و از آن زمان از برنامه جستجوی گلبرگ خود برای سوق دادن مالکان به سمت فایلهای APK استفاده کرده است تا برنامههایی را که فروشگاه خودش از دست داده است دریافت کند.
از آنجایی که این فرمت فقط یک فرمت فایل است، هیچ مشکل قانونی برای دانلود و نصب APK وجود ندارد. اما این نقض حق نسخه برداری یا شکستن شرایط و ضوابط برنامه موجود در فایل APK را نمی بخشد.
خوب – اما ایمن است؟
به دلیل نحوه توزیع و نصب فایلهای APK بر روی تلفن، احتمال خطر امنیتی برنامه تا حدودی بیشتر از زمانی است که از فروشگاه رسمی استفاده میکنید. در اکثر تلفنهای اندروید، بارگذاری جانبی یک برنامه، محافظتهای ارائه شده توسط Google Play را دور میزند و ممکن است یک APK قبل از نصب در تلفن شما به گونهای اصلاح شده باشد که شامل بدافزار باشد.
این امر هر کسی را که گوشی اخیر هوآوی داشته باشد در موقعیت دشواری قرار می دهد. چرا؟ وقتی برنامهای را که در AppGallery موجود نیست جستجو کنید، جستجوی گلبرگ هواوی شما را به مخازن APK هدایت میکند. اگر توییتر، اینستاگرام، نتفلیکس، VSCO، Waze، تیمهای مایکروسافت، برنامه Fitbit، Duolingo و بسیاری از برنامههای رایج و پرکاربرد دیگر را میخواهید، این اتفاق میافتد. Petal Search فایلهای APK را از سایتهایی مانند APKPure، APKMonk، AppParks و Uptodown توصیه میکند.
ما میخواستیم بدانیم هواوی برای محافظت از شما در برابر آسیب هنگام استفاده از این سایتها و فایلهای APK آنها چه میکند. دکتر Jaime Gonzalo گفت که Petal Search فقط به سایتهای در دسترس عموم نگاه میکند، نه آنهایی که از گوگل یا سایر موتورهای جستجو پنهان شدهاند، و تنها به سایتهایی اشاره میکند که آنها را قانونی میداند. به عنوان مثال، سایت باید یک شرکت ثبت شده در اروپا یا ایالات متحده باشد، اما همانطور که گونزالو توضیح داد، هوآوی فراتر از این است.
هواوی چگونه بارگیریهای APK را بررسی میکند
گونزالو با بیان تلاشهای سطح بالای هوآوی برای بررسی اعتبار پیوندهای جستجوی گلبرگ سایت توضیح داد: «ابتدا، ما اطمینان حاصل میکنیم که منبع قابل اعتماد است و همه نتایج را روزانه بررسی میکنیم، و ایمنی و سازگاری دستگاه را بررسی میکنیم. به. ثانیاً، هنگامی که برنامه نصب می شود، کانال رمزگذاری می شود، بنابراین هر پیامی که خارج از فرآیند ارسال شود مسدود می شود. و سوم، ما یک فرآیند آنتی ویروس و بدافزار بلادرنگ داریم، به این معنی که در طول استفاده منظم [از سایتهای APK] از شما محافظت میشود.»
وقتی برنامهها را جستجو میکنید، سیستم هواوی ابتدا گالری برنامه را در اولویت قرار میدهد. اما اگر برنامه آنجا نباشد به دنبال منابع رسمی می گردد. اگر در هیچکدام نباشد، جستجو شامل منابع شخص ثالث می شود.
ما به محبوبیت سایت و برنامه برای ارزیابی اعتبار نگاه میکنیم و مطمئن میشویم که صفحه دارای آخرین نسخه برنامه موجود است، زیرا این صفحه معمولاً دارای آخرین وصلههای امنیتی است. در پایان فرآیند، ما یک بررسی داخلی برای جستجوی بدافزار انجام می دهیم."
همه اینها قبل از نصب برنامه اتفاق می افتد – پس چه اتفاقی می افتد؟
«در خود دستگاه در حین بارگیری، یکپارچگی برنامه بررسی میشود تا APK دیگری را به صورت موازی دیکامپایل یا نصب نکند و نام برنامه تأیید شود. بعدی حفاظت از تهدیدات بدافزار و ویروس است، سپس حفاظت امنیتی هوش مصنوعی ما. این برنامه هر کاری غیرمنتظره انجام می دهد، مانند تلاش برای دسترسی به چیزی که نباید انجام دهد. اگر هوش مصنوعی این را تشخیص دهد، نصب را مسدود می کند. پس از این همه، اگر تهدیدی وجود نداشته باشد، می توان برنامه را نصب کرد.
گونزالو در مورد نصب فایلهای APK گفت: «میتوانیم بگوییم که خطر امنیتی کم است». فرناندو گارسیا کالوو به این اعتماد افزود و فاش کرد که از زمانی که هواوی در سال ۲۰۱۹ دسترسی به Google Play را از دست داد، ۸۳۰ میلیون برنامه با استفاده از سیستم جستجوی گلبرگ دانلود شده است و بیش از نیمی از آن ها از AppGallery نبوده اند. در طول این مدت، هیچ ادعای حق چاپ علیه آن صورت نگرفته است، هیچ شکایتی از توسعه دهندگان علیه سیستم وجود نداشته است، و هیچ شکایت رسمی کاربر در مورد بدافزار یا از دست دادن داده ها به دلیل وجود ویروس نیز وجود نداشته است.
همه APK ها یکسان ایجاد نمی شوند
مطمئناً به نظر می رسد هواوی برای ایمن نگه داشتن شما، تلفن و اطلاعات شخصی شما اقدامات زیادی انجام می دهد. اما در همه موارد دانلود فایل های APK را توصیه نمی کند. به عنوان مثال برنامه های بانکی را در نظر بگیرید. کالوو گفت هوآوی با بانک ها در مورد برنامه ها گفتگو کرده است.
او گفت: «ما آنها [بانکها] را تشویق میکنیم تا برنامهها را در گالری برنامه آپلود کنند. در ابتدا، ما اصلا تمایلی به نمایش فایلهای APK برنامههای بانکی در جستجوی گلبرگ نداشتیم، اما متوجه شدیم که مردم میخواهند آنها را در هر صورت و بدون امنیت ما پیدا کنند. به همین دلیل، پیوندها در جستجوی گلبرگ برای برنامههای بانکی به نسخه وب بانکها میروند و نه APK.
هوآوی هیچ رابطه تجاری با مخازن APK ندارد، اما گونزالو گفت که استفاده از مخازن APK را «با توجه به مدت زمانی که [سایتها] راهاندازی کردهاند، قابل قبول و ایمن میداند». ما با APKPure، که یکی از توصیههای برتر هواوی در جستجوی گلبرگ است، تماس گرفتیم تا درباره این داستان نظر بدهیم. با این حال، این شرکت به ایمیل های ما پاسخ نداد.
هشدارهای هواوی تصویر واضحی را نشان می دهد
بدیهی است که هواوی از شما میخواهد که برنامههای مورد نظر خود را در تلفن خود دریافت کنید، و در حالی که تلاش میکند هنگام استفاده از سایتهای APK شخص ثالث، شما را ایمن نگه دارد، تجربه روی خود گوشی همچنان ممکن است شما را نگران کند.
«دانلود برنامهها از منابع خارجی ممکن است دستگاهها و دادههای شخصی شما را در معرض خطر بیشتری قرار دهد. با لمس کردن اجازه، نشان میدهید که این خطرات را میپذیرید.»
«برنامههای فهرستشده در زیر، از جمله محتوای مرتبط و صفحات، نتایج جستجوی اینترنتی هستند که بهطور خودکار براساس کلمات کلیدی وارد شده شما تولید میشوند. AppGallery فقط این نتایج جستجو را نمایش می دهد و مسئولیتی در قبال محتوای آنها ندارد."
اینها تنها دو مورد از هشدارهایی هستند که هنگام دانلود هر برنامه غیرApp Gallery دریافت می کنید و در صورت بروز مشکل، Huawei را از هرگونه تعهد قانونی حذف می کند. علاوه بر این، علیرغم وعدههایی که به منابع رسمی قبل از منابع شخص ثالث لینک میدهد، جستجوی Petal همچنان مرا به سمت AppParks برای WhatsApp و Facebook قبل از منبع رسمی وبسایت سوق داد.
دانلود کننده مراقب باشید
افرادی که در زمینه امنیت یا توسعه برنامه کار می کنند در مورد فایل های APK چه فکر می کنند؟ دستیار پروفسور کوری فاکلاریس که در دانشگاه کارولینای شمالی در مورد امنیت قابل استفاده مطالعه می کند، در پیامی توییتری به Digital Trends گفت که دانلود فایل APK یا به طور کلی بارگذاری جانبی، وضعیتی است که «دانلودکننده مراقب باشید». او با کنار گذاشتن فایلهای APK از منابع قابل اعتماد، گفت:
اگر فکر میکنید میتوانید با یک بدافزار مقابله کنید یا خودتان برنامه را از نظر آسیبپذیریهای امنیتی تجزیه و تحلیل کنید، و دستگاه تلفن همراه متعلق به شما است و فقط در یک شبکه خصوصی استفاده میشود، میتوانم بگویم آن را دنبال کنید. اما من فایلهای APK را برای تلفنهایی که به شبکههای عمومی یا شبکههای امن سازمانی مانند مشاغل یا مدارس متصل میشوند دانلود نمیکنم. پس شما نه تنها دادههای خود را در معرض خطر قرار میدهید، بلکه هر کسی را که به طور بالقوه از طریق برنامه تلفن شما به شبکه متصل است در معرض هک قرار میگیرد.»
در مورد توسعه دهندگان چطور؟ Roscoe Juckett توسعهدهنده برنامه از طریق پیامی در توییتر به Digital Trends گفت که اگرچه مشکلی برای انتشار یک برنامه در سایتهایی مانند APKPure ندارد، اما همچنان نگرانیهایی دارد:
"نگرانی من این است که مردم آن را دانلود کنند، آلوده کنند و دوباره منتشر کنند"، با اشاره به مشکل مدیریت بهروزرسانیها برای رفع مشکلات خارج از فروشگاه رسمی. او افزود، شاید گویا باشد. "من همه برنامه های مشتری خود را در Google Play مستقر می کنم، هیچ کدام از من نخواسته اند در جای دیگری استقرار کنم."
در حالی که رسوایی های مربوط به مخازن APK چندان رایج نیستند، اما اتفاق می افتد. در آوریل 2021 Kaspersky یک عفونت تروجان را در برنامه تلفن همراه خود APKPure پوشش داد که از یک SDK تبلیغاتی مخرب آمده بود. در حالی که یک نگرانی است، برنامههای دانلود شده از منابع رسمی در گذشته حاوی تبلیغات مخرب و سایر اشکال بدافزار بودهاند، بنابراین مشکلی نیست که منحصر به یک مخزن APK باشد.
ایمنی تضمین نشده است
این واقعیت که بدافزار در برنامههای دانلود شده از Google Play یافت شده است، نشان میدهد که برنامهها، به طور کلی، میتوانند خطرات امنیتی داشته باشند – صرف نظر از اینکه از کجا دانلود میشوند. دارندگان تلفن های هوآوی که فایل های APK را برای برنامه ها دانلود می کنند، مسلماً نسبت به افرادی که از Google Play استفاده می کنند کمی کمتر محافظت می شوند، اما هواوی تلاش کرده است تا دانلود و نصب را ایمن کند. با این حال، هیچ کنترلی بر برنامهها یا سایتهای شخص ثالث ندارد و همانطور که هشدارهای آن در گالری برنامه نشان میدهد، شرکت هیچ مسئولیتی در قبال مشکلات ناشی از استفاده از آن برنامهها ندارد.
این شما را کجا رها می کند؟ به دلیل اشتراکگذاری رویههای امنیتی و ایمنی هواوی، آرامش خاطری حاصل میشود، اما هشدارهای آن در گالری برنامه و جستجوی گلبرگ تأکید میکند که شما در اینجا کاملاً خودتان هستید. اگر نگران هستید، شاید باید از رفتار هواوی با اپلیکیشن های بانکی به عنوان فشارسنج استفاده کنید. اگر اطلاعات ذخیره شده یا ورودی در یک برنامه را حساس میدانید یا از آن برای کار استفاده میکنید، ممکن است استفاده از نسخهای که منبع آن از یک مخزن غیر رسمی است توصیه نشود.