¿Son seguros los archivos APK? Le preguntamos a Huawei y lo descubrimos

La mayoría de nosotros descargaremos una aplicación de Google Play o iOS App Store sin pensarlo dos veces, confiando en que las corporaciones gigantes detrás de las tiendas nos mantienen a salvo del daño digital. si eres dueño un teléfono Huawei reciente usted debe Confíe en AppGallery para las necesidades de su aplicación, y cuando una aplicación no está disponible, le indica que instale un archivo APK desde una fuente no oficial.

Pero, ¿son estos archivos igualmente seguros? ¿Qué está haciendo Huawei para asegurarse de que usted no corra riesgos de malware, virus y robo de datos? Digital Trends habló con el Dr. Jaime Gonzalo, vicepresidente de Huawei Mobile Services Europe, y Fernando García Calvo, director de Huawei Petal Search Europe, para averiguarlo.

¿Qué es un APK?

Antes de continuar, hablemos de los archivos APK. APK significa "Android Package Kit" y es el formato de archivo utilizado para instalar aplicaciones en Android. Piense en ello como si fuera un archivo .exe para Windows o un archivo .dmg para MacOS. Normalmente, al menos si usas Google Play, nunca tendrás que lidiar con un archivo APK.

Sin embargo, cualquiera que tenga un teléfono Android puede descargar e instalar aplicaciones usando archivos APK, una práctica A menudo se lo conoce como “carga lateral”..” Estos archivos generalmente se distribuyen a través de repositorios de terceros, aunque algunas empresas también permiten descargar archivos APK oficiales directamente. Huawei perdió el acceso a Google Play Store en 2019 y desde entonces usó su aplicación Petal Search para empujar a los propietarios hacia archivos APK para obtener las aplicaciones que faltan en su propia tienda.

Debido a que es simplemente un formato de archivo, no existen problemas legales con la descarga e instalación de APK. Pero esto no perdona las infracciones de derechos de autor ni el incumplimiento de los términos y condiciones de la aplicación contenida en el APK archivo.

Está bien, pero ¿es seguro?

Debido a la forma en que se distribuyen e instalan los archivos APK en un teléfono, existe una probabilidad algo mayor de que la aplicación sea un riesgo para la seguridad que cuando se utiliza una tienda oficial. En la mayoría de los teléfonos Android, la descarga de una aplicación evita las protecciones ofrecidas por Google Play y es posible que se haya modificado un APK para incluir malware antes de la instalación en su teléfono.

Esto pone a cualquiera que tenga un teléfono Huawei reciente en una posición difícil. ¿Por qué? Petal Search de Huawei lo llevará a repositorios de APK cuando busque una aplicación que no esté disponible en AppGallery. Esto sucede si desea Twitter, Instagram, Netflix, VSCO, Waze, Microsoft Teams, la aplicación de Fitbit, Duolingo y muchas otras aplicaciones comunes y de uso frecuente. Petal Search recomienda archivos APK de sitios como APKPure, APKMonk, AppParks y Uptodown.

Queríamos entender qué está haciendo Huawei para protegerlo de daños al utilizar estos sitios y los APK que proporcionan. El Dr. Jaime Gonzalo dijo que Petal Search sólo busca sitios disponibles públicamente, no aquellos ocultos de Google u otros motores de búsqueda, y que sólo hace referencia a sitios que considera legítimos. Por ejemplo, el sitio debe ser una empresa registrada en Europa o Estados Unidos, pero Huawei va más allá, como explicó Gonzalo.

Cómo Huawei analiza las descargas de APK

“Primero, nos aseguramos de que la fuente sea confiable y realizamos una verificación diaria de todos los resultados, y verificamos la seguridad y compatibilidad. para el dispositivo”, explicó Gonzalo, destacando los esfuerzos de alto nivel de Huawei para verificar la credibilidad del sitio Petal Search links. a. “En segundo lugar, cuando se instala la aplicación, el canal está encriptado, por lo que cualquier mensaje enviado fuera del proceso será bloqueado. Y tercero, tenemos un proceso antivirus y antimalware en tiempo real, lo que significa que durante el uso regular [de los sitios APK] estarás protegido”.

Cuando busca aplicaciones, el sistema de Huawei primero prioriza la Galería de aplicaciones. Pero si la aplicación no está ahí buscará fuentes oficiales. Si no aparece en ninguno de los dos, la búsqueda incluye fuentes de terceros.

“Analizamos la popularidad del sitio y la aplicación para evaluar la credibilidad y nos aseguramos de que la página tenga la última versión de la aplicación disponible, ya que generalmente tiene los últimos parches de seguridad. Al final del proceso, hacemos una verificación interna para buscar malware”.

Todo esto sucede antes de que se instale la aplicación. Entonces, ¿qué pasa entonces?

“En el propio dispositivo, durante la descarga, se verifica la integridad de la aplicación para que no descompile ni instale otro APK en paralelo, y se verifica el nombre de la aplicación. Lo siguiente es la protección contra amenazas de virus y malware, y luego nuestra propia protección de seguridad mediante IA. Esto vigila que la aplicación haga algo inesperado, como intentar acceder a algo que no debería. Si la IA detecta esto bloqueará la instalación. Después de todo esto, si no hay amenazas, se puede instalar la aplicación”.

Gonzalo dijo: “Podemos decir que el riesgo de seguridad es bajo” respecto a la instalación de archivos APK. A esta confianza se sumó Fernando García Calvo, quien reveló que desde que Huawei perdió el acceso a Google Play en 2019, Se han descargado 830 millones de aplicaciones utilizando el sistema Petal Search y más de la mitad no eran del Galería de aplicaciones. Durante este tiempo, no se han presentado reclamos de derechos de autor en su contra, no ha habido quejas de desarrolladores. contra el sistema y no hay quejas oficiales de los usuarios sobre malware o pérdida de datos debido a un virus cualquiera.

No todos los APK son iguales

Ciertamente, Huawei parece estar haciendo mucho para mantener su seguridad, la de su teléfono y sus datos personales. Pero no recomienda descargar archivos APK en todos los casos. Tomemos como ejemplo las aplicaciones bancarias. Calvo dijo que Huawei ha mantenido conversaciones con bancos sobre el tema de las aplicaciones.

"Los animamos [a los bancos] a subir aplicaciones a App Gallery", dijo. “Al principio, éramos reacios a mostrar los APK de aplicaciones bancarias en Petal Search, pero nos dimos cuenta de que la gente quería encontrarlos de todos modos y sin nuestra seguridad. Por esta razón, los enlaces en Petal Search para aplicaciones bancarias van a la versión web de los bancos y no a un APK”.

Huawei no tiene ninguna relación comercial con repositorios APK, pero Gonzalo dijo que considera el uso de repositorios APK como “aceptado y seguro, considerando la cantidad de tiempo que [los sitios] han estado en funcionamiento”. Contactamos a APKPure, que es una de las principales recomendaciones de Huawei en Petal Search, para comentar sobre esto. historia. Sin embargo, la empresa no respondió a nuestros correos electrónicos.

Las advertencias de Huawei pintan un panorama claro

Obviamente, Huawei quiere que tengas las aplicaciones que deseas en tu teléfono y, mientras trabaja para mantener Si está seguro cuando utiliza sitios APK de terceros, la experiencia en el teléfono aún puede causarle inquietud.

“La descarga de aplicaciones de fuentes externas puede poner en mayor riesgo sus dispositivos y datos personales. Al tocar Permitir, indicas que aceptas estos riesgos”.

“Las aplicaciones que se enumeran a continuación, incluido el contenido y las páginas vinculadas, son resultados de búsqueda en Internet generados automáticamente en función de las palabras clave que usted ingresó. AppGallery solo muestra estos resultados de búsqueda y no es responsable de su contenido”.

Estas son solo dos de las advertencias que recibe cuando descarga cualquier aplicación que no sea de App Gallery, lo que elimina efectivamente a Huawei de cualquier obligación legal en caso de que algo salga mal. Además, a pesar de las promesas de que vincularía a fuentes oficiales antes que a fuentes de terceros, Petal Search todavía me empujó hacia AppParks para WhatsApp y Facebook antes que la fuente del sitio web oficial.

Descargador tenga cuidado

¿Qué piensan las personas que trabajan en seguridad o desarrollo de aplicaciones sobre los archivos APK? Profesor asistente Cori Faklaris, que estudia seguridad utilizable en la Universidad de Carolina del Norte, dijo a Digital Trends en un mensaje de Twitter que la descarga de archivos APK, o la descarga lateral en general, es una situación en la que el descargador debe tener cuidado. Dejando de lado los archivos APK de fuentes confiables, dijo:

"Si cree que puede manejar una infección de malware o analizar la aplicación por seguridad vulnerabilidades, y el dispositivo móvil le pertenece y sólo se utilizará en una red privada, yo Di que hazlo. Pero no descargaría APK a teléfonos que se conectan a redes públicas o redes institucionales seguras como empresas o escuelas. Entonces no sólo estás poniendo en riesgo tus datos, sino también los de cualquier persona que potencialmente esté expuesta a un hackeo a través de la aplicación de tu teléfono conectada a la red”.

¿Qué pasa con los desarrolladores? desarrollador de aplicaciones Roscoe Juckett le dijo a Digital Trends a través de un mensaje de Twitter que, si bien no tiene problemas para lanzar una aplicación en sitios como APKPure, todavía tiene preocupaciones:

"Mi preocupación es que la gente lo descargue, lo infecte y lo vuelva a publicar", haciendo referencia al problema de administrar actualizaciones para solucionar problemas fuera de una tienda oficial. Quizás de manera reveladora, añadió. "Implemente todas las aplicaciones de mis clientes en Google Play, ninguna me ha pedido que las implemente en ningún otro lugar".

Si bien los escándalos relacionados con los repositorios de APK no son tan comunes, ocurren. En abril de 2021, Kaspersky cubrió una infección troyana en la propia aplicación móvil de APKPure, que proviene de un SDK de publicidad maliciosa. Si bien es preocupante, las aplicaciones descargadas de fuentes oficiales también contenía publicidad maliciosa y otras formas de malware en el pasado, por lo que no es un problema exclusivo de un repositorio APK.

Seguridad no garantizada

El hecho de que se haya encontrado malware en aplicaciones descargadas de Google Play muestra que las aplicaciones, en general, pueden ser riesgos de seguridad – independientemente de dónde se descarguen. Podría decirse que los propietarios de teléfonos Huawei que descargan archivos APK para aplicaciones están un poco menos protegidos que cualquiera que use Google Play, pero Huawei ha hecho un esfuerzo para que la descarga y la instalación sean seguras. Sin embargo, no tiene ningún control sobre las aplicaciones o los sitios de terceros, y como sus advertencias en el Como muestra la Galería de aplicaciones, la empresa no asume ninguna responsabilidad por los problemas que surjan del uso de esas aplicaciones.

¿Dónde te deja esto? Hay cierta tranquilidad que proviene de que Huawei comparta sus prácticas de seguridad y protección, pero sus advertencias en la Galería de aplicaciones y Petal Search enfatizan que usted está solo aquí. Si está preocupado, tal vez debería utilizar el tratamiento que Huawei da a las aplicaciones bancarias como barómetro. Si considera que la información almacenada o ingresada en una aplicación es confidencial o la está usando para trabajar, es posible que no sea aconsejable utilizar una versión obtenida de un repositorio no oficial.

Recomendaciones de los editores

• El plegable plegable de Huawei parece más un artilugio de alta costura
• Seis meses después, la Huawei App Gallery todavía no puede competir con Google Play
• Inclinando la balanza: la historia del audaz ecosistema móvil libre de Google de Huawei
• El Mate Xs de Huawei te pide que abandones Google. ¿Vale la pena?
• Cómo Huawei está construyendo un teléfono inteligente post-Google