De meesten van ons zullen zonder nadenken een app downloaden van Google Play of de iOS App Store, in het vertrouwen dat de gigantische bedrijven achter de winkels ons beschermen tegen digitale schade. Als u eigenaar bent een recente Huawei-telefoon je moet vertrouw op de AppGallery voor uw app-behoeften, en wanneer een app niet beschikbaar is, wijst dit u op het installeren van een APK-bestand van een niet-officiële bron.
Inhoud
- Wat is een APK?
- Oké, maar is het veilig?
- Hoe Huawei APK-downloads onder de loep neemt
- Niet alle APK's zijn gelijk gemaakt
- De waarschuwingen van Huawei schetsen een duidelijk beeld
- Downloader let op
- Veiligheid niet gegarandeerd
Maar zijn deze bestanden even veilig, en wat doet Huawei om ervoor te zorgen dat u geen risico loopt op malware, virussen en gegevensdiefstal? Digital Trends sprak met Dr. Jaime Gonzalo, VP van Huawei Mobile Services Europe, en Fernando Garcia Calvo, directeur van Huawei Petal Search Europe, om erachter te komen.
Aanbevolen video's
Wat is een APK?
Voordat we veel verder gaan, laten we het hebben over APK-bestanden. APK staat voor 'Android Package Kit' en het is het bestandsformaat dat wordt gebruikt om apps op Android te installeren. Zie het als een beetje zoals een .exe-bestand voor Windows of een .dmg-bestand voor MacOS. Normaal gesproken zul je, tenminste als je Google Play gebruikt, nooit te maken krijgen met een APK-bestand.
Verwant
- Huawei's P50 Pro Plus heeft een nog ongebruikelijkere camerabobbel dan we hadden verwacht
- Huawei verkocht voor het eerst meer telefoons dan Samsung of Apple
- Xiaomi gaat er prat op dat Mi 10 Pro Google-apps heeft, waarmee rivaal Huawei wordt uitgedaagd
Iedereen die een Android-telefoon bezit, kan echter apps downloaden en installeren met behulp van APK-bestanden, een praktijk vaak ‘sideloading’ genoemd.” Deze bestanden worden over het algemeen verspreid via repository's van derden, hoewel sommige bedrijven u ook officiële APK-bestanden rechtstreeks laten downloaden. Huawei verloor in 2019 de toegang tot de Google Play Store en sindsdien gebruikte de Petal Search-app om eigenaren naar APK-bestanden te duwen om de apps te bemachtigen die zijn eigen winkel mist.
Omdat het gewoon een bestandsindeling is, zijn er geen juridische problemen met het downloaden en installeren van APK's. Maar dit vergeeft geen schendingen van het auteursrecht of het overtreden van de algemene voorwaarden van de app in de APK bestand.
Oké, maar is het veilig?
Door de manier waarop APK-bestanden worden gedistribueerd en geïnstalleerd op een telefoon, is de kans iets groter dat de app een beveiligingsrisico vormt dan wanneer je een officiële winkel gebruikt. Op de meeste Android-telefoons omzeilt het sideloaden van een app de bescherming die wordt geboden door Google Play, en het is mogelijk dat een APK is aangepast om malware op te nemen voordat deze op uw telefoon wordt geïnstalleerd.
Dit brengt iedereen met een recente Huawei-telefoon in een moeilijke positie. Waarom? Huawei's Petal Search leidt u naar APK-opslagplaatsen wanneer u zoekt naar een app die niet beschikbaar is in de AppGallery. Dit gebeurt als je Twitter, Instagram, Netflix, VSCO, Waze, Microsoft Teams, Fitbit's app, Duolingo en vele andere veelgebruikte, vaak gebruikte apps wilt. Petal Search beveelt APK-bestanden aan van sites als APKPure, APKMonk, AppParks en Uptodown.
We wilden begrijpen wat Huawei doet om u tegen schade te beschermen bij het gebruik van deze sites en de APK's die ze bieden. Dr. Jaime Gonzalo zei dat Petal Search alleen naar openbaar beschikbare sites kijkt, niet naar sites die verborgen zijn voor Google of andere zoekmachines, en dat het alleen verwijst naar sites die het als legitiem beschouwt. De site moet bijvoorbeeld een geregistreerd bedrijf zijn in Europa of de VS. Maar Huawei gaat verder dan dit, zoals Gonzalo uitlegde.
Hoe Huawei APK-downloads onder de loep neemt
“Eerst zorgen we ervoor dat de bron betrouwbaar is en controleren we dagelijks alle resultaten, en controleren we de veiligheid en compatibiliteit voor het apparaat”, legt Gonzalo uit, waarin hij de inspanningen van Huawei op het hoogste niveau vermeldt om de geloofwaardigheid van de Petal Search-links op de site te controleren naar. “Ten tweede wordt het kanaal gecodeerd wanneer de app wordt geïnstalleerd, zodat alle berichten die buiten het proces worden verzonden, worden geblokkeerd. En ten derde hebben we een realtime antivirus- en malwareproces, wat betekent dat u tijdens regelmatig gebruik [van APK-sites] beschermd bent.”
Wanneer je naar apps zoekt, geeft Huawei’s systeem eerst prioriteit aan de App Gallery. Maar als de app er niet is, gaat hij op zoek naar officiële bronnen. Als dit ook niet voorkomt, omvat de zoekopdracht bronnen van derden.
“We kijken naar de populariteit van de site en app om de geloofwaardigheid te beoordelen, en we zorgen ervoor dat op de pagina de nieuwste app-versie beschikbaar is, omdat deze meestal over de nieuwste beveiligingspatches beschikt. Aan het einde van het proces voeren we een interne controle uit om te zoeken naar malware.”
Dit gebeurt allemaal voordat de app wordt geïnstalleerd. Wat gebeurt er dan?
“Op het apparaat zelf wordt tijdens het downloaden de integriteit van de app gecontroleerd, zodat deze niet parallel aan een andere APK wordt gedecompileerd of geïnstalleerd, en de naam van de app wordt geverifieerd. Het volgende is de bescherming tegen malware en virussen, en vervolgens onze eigen AI-beveiliging. Dit zorgt ervoor dat de app iets onverwachts doet, zoals proberen toegang te krijgen tot iets dat niet zou moeten. Als de AI dit detecteert, blokkeert hij de installatie. Als er tenslotte geen bedreigingen zijn, kan de app worden geïnstalleerd.”
Gonzalo zei: "We kunnen zeggen dat het beveiligingsrisico laag is", met betrekking tot het installeren van APK-bestanden. Fernando Garcia Calvo droeg bij aan dit vertrouwen en onthulde dat sinds Huawei in 2019 de toegang tot Google Play verloor, Er zijn 830 miljoen apps gedownload met behulp van het Petal Search-systeem en meer dan de helft was niet afkomstig van het Petal Search-systeem AppGalerij. Gedurende deze tijd zijn er geen auteursrechtclaims tegen ingediend en zijn er geen klachten van ontwikkelaars geweest tegen het systeem en geen officiële klachten van gebruikers over malware of gegevensverlies als gevolg van een virus of.
Niet alle APK's zijn gelijk gemaakt
Huawei lijkt zeker genoeg te doen om jou, je telefoon en je persoonlijke gegevens veilig te houden. Maar het wordt niet in alle gevallen aanbevolen om APK-bestanden te downloaden. Neem bankapps als voorbeeld. Calvo zei dat Huawei gesprekken heeft gevoerd met banken over apps.
“We moedigen hen [banken] aan om apps naar App Gallery te uploaden”, zei hij. “In het begin waren we terughoudend om APK's van bankapps überhaupt weer te geven in Petal Search, maar we realiseerden ons dat mensen ze toch willen vinden en zonder onze beveiliging. Om deze reden gaan de links in Petal Search voor bankapps naar de webversie van de banken en niet naar een APK.”
Huawei heeft geen commerciële relaties met APK-opslagplaatsen, maar Gonzalo zei dat hij het gebruik van APK-opslagplaatsen beschouwt als “geaccepteerd en veilig, gezien de hoeveelheid tijd dat [de sites] actief zijn geweest.” We hebben contact opgenomen met isoit, een van de topaanbevelingen van Huawei in Petal Search, voor commentaar hierover verhaal. Het bedrijf reageerde echter niet op onze e-mails.
De waarschuwingen van Huawei schetsen een duidelijk beeld
Uiteraard wil Huawei dat je de gewenste apps op je telefoon krijgt, en dat terwijl je eraan werkt, deze ook behoudt u veilig bent wanneer u APK-sites van derden gebruikt, kan de ervaring op de telefoon zelf u nog steeds hinderen zorg.
“Het downloaden van apps van externe bronnen kan uw apparaten en persoonlijke gegevens een groter risico opleveren. Door Toestaan aan te raken, geef je aan dat je deze risico’s accepteert.”
“De onderstaande apps, inclusief gekoppelde inhoud en pagina's, zijn internetzoekresultaten die automatisch worden gegenereerd op basis van de door u ingevoerde trefwoorden. AppGallery geeft alleen deze zoekresultaten weer en is niet verantwoordelijk voor de inhoud ervan.”
Dit zijn slechts twee van de waarschuwingen die u krijgt als u een app downloadt die niet van de App Gallery is, waardoor Huawei feitelijk van alle wettelijke verplichtingen wordt ontdaan als er iets misgaat. Bovendien duwde Petal Search me, ondanks beloften dat het zou linken naar officiële bronnen vóór bronnen van derden, nog steeds in de richting van AppParks voor WhatsApp en Facebook vóór de officiële websitebron.
Downloader let op
Wat vinden mensen die in de beveiliging of app-ontwikkeling werken van APK-bestanden? Assistent-professor Cori Faklaris, die bruikbare beveiliging bestudeert aan de Universiteit van North Carolina, vertelde Digital Trends in een Twitter-bericht dat het downloaden van APK-bestanden, of sideloading in het algemeen, een “downloader pas op” -situatie is. Afgezien van APK-bestanden van vertrouwde bronnen, zei ze:
“Als je denkt een malware-infectie aan te kunnen, of de app zelf te analyseren op veiligheid kwetsbaarheden, en het mobiele apparaat is van jou en zal alleen op een particulier netwerk worden gebruikt, zou ik zeggen zeg: ga ervoor. Maar ik zou geen APK's downloaden naar telefoons die verbinding maken met openbare netwerken of beveiligde institutionele netwerken zoals bedrijven of scholen. Dan breng je niet alleen jouw gegevens in gevaar, maar ook die van iedereen die mogelijk wordt blootgesteld aan een hack doordat jouw telefoon-app is verbonden met het netwerk.”
Hoe zit het met ontwikkelaars? App-ontwikkelaar Roscoe Juckett vertelde Digital Trends via een Twitter-bericht dat hij, hoewel hij er geen probleem mee heeft een app uit te brengen op sites als APKPure, nog steeds zorgen heeft:
“Mijn zorg is dat mensen het zullen downloaden, infecteren en opnieuw publiceren”, verwijzend naar het probleem van het vervolgens beheren van updates om problemen buiten een officiële winkel op te lossen. Misschien veelzeggend, voegde hij eraan toe. "Ik implementeer alle apps van mijn klant op Google Play, geen enkele heeft mij gevraagd om ergens anders te implementeren."
Het downloaden van APK-bestanden, of sideloaden in het algemeen, is een 'downloader let op'-situatie.
Hoewel schandalen met betrekking tot APK-opslagplaatsen niet zo vaak voorkomen, komen ze wel voor. In april 2021 deed Kaspersky verslag een Trojan-infectie in de eigen mobiele app van APKPure, die afkomstig was van een kwaadaardige advertentie-SDK. Hoewel het een zorg is, zijn apps die zijn gedownload van officiële bronnen dat ook bevatte kwaadaardige reclame en andere vormen van malware in het verleden, dus het is geen probleem dat uniek is voor een APK-repository.
Veiligheid niet gegarandeerd
Het feit dat er malware is gevonden in apps die zijn gedownload van Google Play laat zien dat apps over het algemeen kunnen veiligheidsrisico's zijn — ongeacht waar ze vandaan worden gedownload. Eigenaren van Huawei-telefoons die APK-bestanden voor apps downloaden, zijn aantoonbaar iets minder beschermd dan iedereen die Google Play gebruikt, maar Huawei heeft moeite gedaan om het downloaden en installeren veilig te maken. Het heeft echter geen enkele controle over de apps of sites van derden, en zoals de waarschuwingen in de App Gallery laat zien dat het bedrijf geen enkele verantwoordelijkheid neemt voor eventuele problemen die voortvloeien uit het gebruik ervan apps.
Waar laat dit je achter? Het geeft enige gemoedsrust doordat Huawei zijn beveiligings- en veiligheidspraktijken deelt, maar de waarschuwingen in de App Gallery en Petal Search benadrukken dat je hier helemaal alleen bent. Als u zich zorgen maakt, moet u Huawei’s behandeling van bankapps misschien als barometer gebruiken. Als u de informatie die is opgeslagen of ingevoerd in een app als gevoelig beschouwt of als u deze voor uw werk gebruikt, is het gebruik van een versie uit een niet-officiële repository wellicht niet aan te raden.
Aanbevelingen van de redactie
- De opvouwbare clamshell van Huawei lijkt meer op een high-fashion gadget
- Zes maanden later kan de Huawei App Gallery nog steeds niet overweg met Google Play
- De balans doorslaan: het verhaal van Huawei’s gedurfde, Google-vrije mobiele ecosysteem
- Huawei's Mate Xs vraagt je om Google te verlaten. Is het de moeite waard?
- Hoe Huawei een post-Google-smartphone bouwt
