サイドロードされたアプリが安全かどうかを知る方法は?


19

ウェブサイトからダウンロードしているアプリのAPKがAndroidスマートフォンに安全にインストールできることをどのように保証できますか?

ダウンロードしたファイルが安全であることを知る方法はありますか?APKファイルをスキャンし、言うのアプリやサービスがありますThis file is safe to install


1
公式ストアの有料/広告対応アプリであり、サイドローディングするバージョンが広告なしで無料の場合、安全ではありません。
ダン・ニーリー

回答:


15

APKが安全かどうかを知ることは困難です。最善の策は、信頼できるまたは信頼できるソース(Google Play、Amazonなど)からダウンロードすることです。

一部の(信頼できる)開発者は、APKのMD5(または他のメッセージダイジェストアルゴリズム)ハッシュも提供します。APKをダウンロードしたら、APKに同じハッシュがあるかどうかを確認します。もしそうなら、改ざんされていないと言っても安全です。

APK /アプリに必要な権限を確認し、常識(または独自の判断/本能)を使用して、インストールしても安全かどうかを判断することもできます。

ボトムライン:常に信頼できるソースからインストールしてください。海賊版APKから離れてください。マルウェアが存在する可能性があります。


そのアプリケーションにマルウェアがあるかどうかを検出できるアプリはありますか?
HTTP

@Nesmarわかりませんが、Google Playでいつでもアンチウイルスを試すことができます。
ゲフチャン

正直に言って、アンドロイドのアンチウイルスは、タップしないと実行されないため、自信を持っていません。携帯電話でもできるかどうかはわかりません。
HTTP

@Nesmar一部のアンチウイルスはサービスとして実行できると思います。ScreeblやAd Block Plusなどのアプリは、電話の起動時に実行されます。
ゲフチャン

5
収益だけで+1!不明なソースからダウンロードする場合、判断する簡単な方法はありません。MD5の場合でも:両方のファイル(APKとMD5)が同じサーバー上にある場合、両方が置き換えられていないことを誰が伝えますか?
イジー

9

不明なソースが有効になっている場合、サイドロードされたアプリに対して、アプリの検証害を引き起こす可能性のあるアプリのインストール前に許可または警告)オプションを導入しました(両方の設定は[設定] -> [ セキュリティ] -> [ デバイス管理]で利用可能)。

Virus Totalなどのオンラインウイルススキャナーを使用して、ダウンロードした.apkファイルを確認することもできます。

ただし、これはすべてのスキャナーサービスで同じです。100%確実ではなく、おそらく既知の悪意のあるアプリのみを検出します。カスタマイズされたマルウェアはおそらく検出されないままです。また、非常に新しい悪意のあるアプリは、しばらくしてから検出されるまでスリップするでしょう。


1
マルウェアスキャナーは簡単にバイパスできることがわかっているので(ちょっとしたGoogle検索を実行するだけです)、自分で確認できるように、それ以上は信頼しません。これには、Googleの検証アプリが含まれます
イジー

確かに。ただし、古いマルウェアは定期的に検出されます。100%の安全性を提供するマルウェアスキャナーはありません。公式プレイストアから悪意のあるアプリを入手することもできます(Appleのストアも例外ではありません)。ただし、サイドローディングが必要な場合、これらのスキャナーは安全性を向上させます。Appleの新しい指紋スキャナーのようです:既にバイパスされていますがピンロックがまったくないよりもはるかに優れてます(利便性の理由で所有者の約40%がピンロックを持っていません)。
ce4

同意する。ポイントを明確にしない私のせい:「何も起こらない、アンチウイルスを持っている」という方法でそれらに頼らないでください。それら全体が(画像全体ではなく)パズルの一部である場合は、役立つ可能性があります。
イジー

7

.apk不明または信頼できないソースからファイルをダウンロードしている場合、簡単に判断する方法はありません。ほとんどのAnti-Whateverソリューション(ウイルス対策、マルウェア対策など)は、「データベースエントリ」(つまり、既知のマルウェアのデータベースを持ち、パッケージ名が一致するかどうかを確認する)、または要求された権限のみを確認する( SMSアプリが希望するSMSのみを送信するかどうかなどではありません)。アプリの動作を分析する「実際の」ヒューリスティックスキャナーについて聞いたことがありません。

理論的には「スキャナー」が一種のチェックサムを検証することも可能ですが(前述のMD5)、これはPlaystoreなどの「信頼できるベース」に対してのみ機能します。そこで利用できないアプリの場合、失敗します(比較するものはありません)。また、そこで利用可能なアプリであっても、まったく同じバージョンをチェックする必要があります。そのような解決策はほとんど実用的ではありません。

したがって、私の議論は異なるかもしれませんが、私の最終結果はgeffとほぼ同じです。信頼できるソースからのみインストールしてください。100%安全なものはありませんが、これにより可能な限り小さなリスクが課せられます。最も危険なのは、海賊版のものです。「悪いもの」が注入される可能性が非常に高いからです。


判断する1つの方法は、既知の優れた発行元と証明書を比較することです(つまり、GoogleのIngress apkの最新バージョンが必要な場合は、インストール済みの証明書と同じ証明書で署名されているかどうかを比較します)。証明書が同じ場合は、サイドローディングを使用して、既にインストールされているアプリを(Playストアから)アップグレードできます。これは安全なオプションです(該当する場合)。
ce4

サイドローディングを介してアプリをアップグレードする場合、証明書を自動的に比較しますか、または証明書が同じであることを確認するために何かを行う必要がありますか?もしそうなら、どのようにそれを検証しますか?
ルブルー14年

1
@LeBleu、アプリが既にデバイスにインストールされている場合、はい。次に、.apkインストールされたものとまったく同じ「キー」を使用して新しいものに署名する必要があります。そうしないと、更新が失敗します。
イジー

5

パッケージをモバイルサンドボックスにアップロードして、パッケージの動作を確認できます。サンドボックスがバイナリを実行し、実行結果が表示されます。これは、以前はav-databaseに存在する必要はなかったため、以前は未知だったマルウェアでも機能します。サンドボックスの例は、MobileSandboxCopperDroidSandDroidTraceDroidJoe Sabdox MobileForSafeなどです。

いつものように、100%のセキュリティはありませんが、Playストアからダウンロードする場合も完全なセキュリティはありません...

上記で言及したVirustotalは、最近、サンドボックスでいくつかのサンプルの実行を開始しました。もちろん、既知のマルウェアの規模に対してテストするので、常に良い方法です。Virustotalに似ていますが、Android専用のサービスはAndroTotalです。


0

Lookout Securityを使用します。インストールしたすべてのアプリをスキャンし、APKもスキャンできます


1
何をスキャンしますか?実際にヒューリスティック分析またはその他の信頼できる分析を実行しますか、それともAPK名またはMD5のデータベースチェックを実行するだけですか?
-onik

0

今では、安全なApkファイルを見つけるのはそれほど難しくありません。ただし、ソースサイトを選択する際は注意する必要があります。個人的にApkLink.comをお勧めします。第二に、どこからでもapkをダウンロードした後、VirusTotalをスキャンすることをお勧めします(ダウンロードしたアプリの安全性を確保するため)。


0

アプリの許可は、一定レベルのセキュリティを提供します。apkのインストール中にいつでも権限を確認できます。

アプリがルート権限やその他の権限を必要としない場合、ほとんどは安全であると考えることができます。アプリが許可なしで実行できることはほとんどありません。ただし、悪意のあるリンクを表示し、悪意のあるサイトにリダイレクトして、他の何かまたはフィッシングWebサイトをインストールするようにユーザーをだますことができます。そのようなアプリがインターネットさえ使用しない場合、それは安全であると考えることができます。

権限のレベルが上がると、アプリは安全でないと疑われる可能性が高くなります。連絡先、メッセージ、通話ログ、ストレージ上のファイルなどの個人データを盗むことができます。もちろん、すべてのアプリが悪意があるわけではありません。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.