我们大多数人都会毫不犹豫地从 Google Play 或 iOS App Store 下载应用程序,相信商店背后的大公司正在保护我们免受数字伤害。如果您拥有最近的华为手机,您必须依靠 AppGallery来满足您的应用需求,并且当应用不可用时,它会指示您从非官方来源安装 APK 文件。
但是这些文件是否同样安全?华为正在采取什么措施来确保您不会受到恶意软件、病毒和数据盗窃的威胁? Digital Trends 采访了华为移动服务欧洲副总裁 Jaime Gonzalo 博士和华为花瓣搜索欧洲总监 Fernando Garcia Calvo 以了解情况。
什么是 APK?
在我们进一步讨论之前,让我们先谈谈 APK 文件。 APK 代表“Android Package Kit”,它是用于在 Android 上安装应用程序的文件格式。把它想象成有点像 Windows 的 .exe 文件或 MacOS 的 .dmg 文件。通常,至少如果您使用 Google Play,您将永远不必处理 APK 文件。
但是,任何拥有 Android 手机的人都可以使用 APK 文件下载和安装应用程序,这种做法通常被称为“侧载”。这些文件通常通过第三方存储库分发,尽管有些公司也允许您直接下载官方 APK 文件。 华为在 2019 年失去了对 Google Play 商店的访问权限,此后一直 使用其 Petal Search 应用程序将所有者推向 APK 文件,以获取其自己的商店缺少的应用程序。
因为它只是一种文件格式,所以下载和安装 APK 不存在法律问题。但这并不能原谅侵犯版权或违反 APK 文件中包含的应用程序的条款和条件。
好的——但它安全吗?
由于 APK 文件在手机上分发和安装的方式,与使用官方商店相比,应用程序存在安全风险的可能性更大。在大多数 Android 手机上,侧载应用程序会绕过 Google Play 提供的保护,并且在您的手机上安装之前,APK 可能已被修改为包含恶意软件。
这使任何拥有最近使用华为手机的人都处于困境中。为什么?当您搜索 AppGallery 中不可用的应用时,华为花瓣搜索将引导您进入 APK 存储库。如果您想要 Twitter、Instagram、Netflix、VSCO、Waze、Microsoft Teams、Fitbit 的应用程序、Duolingo 以及许多其他常见的常用应用程序,就会发生这种情况。 Petal Search 推荐来自 APKPure、APKMonk、AppParks 和 Uptodown 等网站的 APK 文件。
我们想了解华为在使用这些网站及其提供的 APK 时采取了哪些措施来保护您免受伤害。 Jaime Gonzalo 博士说,Petal Search 只关注公开可用的网站,而不是那些隐藏在谷歌或其他搜索引擎之外的网站,而且它只引用它认为合法的网站。例如,该网站需要是在欧洲或美国注册的公司,但正如 Gonzalo 解释的那样,华为超越了这一点。
华为如何审查 APK 下载
“首先,我们确保来源可信,每天检查所有结果,检查设备的安全性和兼容性,”Gonzalo 解释说,并表示华为在检查网站 Petal Search 链接的可信度方面所做的顶级工作至。 “其次,安装应用程序后,通道会被加密,因此任何在进程之外发送的消息都将被阻止。第三,我们有一个实时的防病毒和恶意软件流程,这意味着在定期使用 [APK 网站] 期间,您将受到保护。”
当你搜索应用时,华为系统会优先选择应用程序库。但如果该应用程序不存在,它将寻找官方来源。如果两者都没有,则搜索包括第三方来源。
“我们查看网站和应用程序的受欢迎程度以评估可信度,并确保该页面具有可用的最新应用程序版本,因为这通常具有最新的安全补丁。在流程结束时,我们会进行内部检查以查找恶意软件。”
所有这一切都发生在应用程序安装之前——那么接下来会发生什么?
“在下载过程中,设备本身会检查应用程序的完整性,因此它不会反编译或并行安装另一个 APK,并验证应用程序的名称。接下来是恶意软件和病毒威胁防护,然后是我们自己的 AI 安全防护。这会监视应用程序执行任何意外的操作,例如尝试访问不应该访问的内容。如果 AI 检测到这一点,它将阻止安装。毕竟,如果没有威胁,可以安装应用程序。”
关于安装 APK 文件,Gonzalo 说:“我们可以说安全风险很低”。费尔南多·加西亚·卡尔沃增加了这种信心,他透露,自从华为在 2019 年失去对 Google Play 的访问权限以来,已经使用花瓣搜索系统下载了 8.3 亿个应用程序,其中一半以上不是来自 AppGallery。在此期间,没有针对它提出版权索赔,也没有开发者对该系统提出投诉,也没有关于恶意软件或由于病毒导致的数据丢失的官方用户投诉。
并非所有 APK 都是一样的
华为显然在保护您、您的手机和您的个人数据安全方面做了很多工作。但它不建议在所有情况下都下载 APK 文件。以银行应用程序为例。卡尔沃表示,华为已经与银行就应用程序进行了对话。
“我们鼓励他们(银行)将应用程序上传到 App Gallery,”他说。 “一开始,我们根本不愿意在 Petal Search 中显示银行应用 APK,但我们意识到人们无论如何都想在没有我们安全的情况下找到它们。因此,Petal Search 中银行应用程序的链接指向银行的网络版本,而不是 APK。”
华为与 APK 存储库没有任何商业关系,但 Gonzalo 表示,他认为 APK 存储库的使用是“可接受且安全的,考虑到 [这些网站] 已经启动和运行的时间量。”我们联系了 APKPure,它是华为在花瓣搜索中的顶级推荐之一,对这个故事发表评论。但是,该公司没有回复我们的电子邮件。
华为的警告描绘了一幅清晰的画面
显然,华为希望您在手机上获得您想要的应用程序,虽然它正在努力确保您在使用第三方 APK 网站时的安全,但手机本身的体验可能仍会引起您的担忧。
“从外部来源下载应用程序可能会使您的设备和个人数据面临更大的风险。触摸允许,即表示您接受这些风险。”
“下面列出的应用程序,包括链接内容和页面,是根据您输入的关键字自动生成的互联网搜索结果。 AppGallery 只显示这些搜索结果,不对它们的内容负责。”
这些只是您在下载任何非 App Gallery 应用程序时收到的两个警告,如果出现问题,可以有效地免除华为的任何法律义务。此外,尽管承诺它会在第三方来源之前链接到官方来源,但 Petal Search 仍然将我推向了 AppParks for WhatsApp 和 Facebook,而不是官方网站来源。
下载者小心
从事安全或应用程序开发工作的人如何看待 APK 文件?在北卡罗来纳大学研究可用安全性的助理教授 Cori Faklaris在 Twitter 消息中告诉 Digital Trends,APK 文件下载或一般侧载是“下载者当心”的情况。撇开可信来源的 APK 文件不谈,她说:
“如果你认为你可以处理恶意软件感染或自己分析应用程序的安全漏洞,而移动设备属于你并且只能在专用网络上使用,我会说去吧。但我不会将 APK 下载到连接到公共网络或机构安全网络(如企业或学校)的手机上。这样一来,您不仅将您的数据置于风险之中,而且任何可能通过您的手机应用程序连接到网络而受到黑客攻击的人也面临风险。”
开发商呢?应用程序开发人员Roscoe Juckett通过 Twitter 消息告诉 Digital Trends,虽然他在 APKPure 等网站上发布应用程序没有问题,但他仍然担心:
“我担心人们会下载它、感染它并重新发布它,”指的是然后管理更新以解决官方商店之外的问题的问题。他补充说,也许很明显。 “我在 Google Play 上部署了所有客户的应用程序,没有人要求我在其他任何地方部署。”
虽然关于 APK 存储库的丑闻并不常见,但它们确实会发生。 2021 年 4 月,卡巴斯基在 APKPure 自己的移动应用程序中发现了来自恶意广告 SDK 的木马感染。虽然令人担忧,但从官方来源下载的应用程序过去也包含恶意广告和其他形式的恶意软件,因此这不是 APK 存储库独有的问题。
不保证安全
在从 Google Play 下载的应用程序中发现恶意软件这一事实表明,应用程序通常可能存在安全风险——无论它们是从哪里下载的。华为手机用户下载应用程序的 APK 文件可以说比使用 Google Play 的用户受到的保护要少一些,但华为已努力确保下载和安装安全。但是,它对应用程序或第三方网站没有任何控制权,并且正如其在 App Gallery 中的警告所示,该公司不对使用这些应用程序产生的任何问题承担任何责任。
这会让你在哪里?华为分享其安全和安全实践让您高枕无忧,但其在 App Gallery 和 Petal Search 中的警告强调您在这里非常独立。如果您担心,也许您应该使用华为对待银行应用程序的方式作为晴雨表。如果您认为存储或输入到应用程序中的信息是敏感信息,或者您将其用于工作,则可能不建议使用来自非官方存储库的版本。