Sind APK-Dateien sicher? Huawei spricht über Sicherheit, Schutz und mehr

Die meisten von uns werden eine App von Google Play oder dem iOS App Store herunterladen, ohne darüber nachzudenken, in der Zuversicht, dass die riesigen Unternehmen hinter den Stores uns vor digitalem Schaden schützen. Wenn Sie ein aktuelles Huawei-Telefon besitzen, müssen Sie sich für Ihre App-Anforderungen auf die AppGallery verlassen , und wenn eine App nicht verfügbar ist, werden Sie darauf hingewiesen, eine APK-Datei von einer inoffiziellen Quelle zu installieren.

Aber sind diese Dateien gleichermaßen sicher, und was unternimmt Huawei, um sicherzustellen, dass Sie nicht durch Malware, Viren und Datendiebstahl gefährdet werden? Digital Trends sprach mit Dr. Jaime Gonzalo, VP von Huawei Mobile Services Europe, und Fernando Garcia Calvo, Director von Huawei Petal Search Europe, um es herauszufinden.

Was ist eine APK?

Bevor wir weiter gehen, lassen Sie uns über APK-Dateien sprechen. APK steht für „Android Package Kit“ und ist das Dateiformat, das zum Installieren von Apps auf Android verwendet wird. Stellen Sie es sich ein bisschen wie eine .exe-Datei für Windows oder eine .dmg-Datei für MacOS vor. Normalerweise, zumindest wenn Sie Google Play verwenden, müssen Sie sich nie mit einer APK-Datei befassen.

Jeder, der ein Android-Telefon besitzt, kann jedoch Apps mithilfe von APK-Dateien herunterladen und installieren, eine Praxis, die oft als „Sideloading“ bezeichnet wird . Diese Dateien werden im Allgemeinen über Repositories von Drittanbietern verteilt, obwohl Sie bei einigen Unternehmen auch offizielle APK-Dateien direkt herunterladen können. Huawei verlor 2019 den Zugriff auf den Google Play Store und nutzt seitdem seine Petal Search-App , um Besitzer zu APK-Dateien zu drängen, um die Apps zu bekommen, die im eigenen Store fehlen.

Da es sich lediglich um ein Dateiformat handelt, gibt es keine rechtlichen Probleme beim Herunterladen und Installieren von APKs. Dies verzeiht jedoch keine Urheberrechtsverletzungen oder Verstöße gegen die Nutzungsbedingungen der in der APK-Datei enthaltenen App.

OK – aber ist es sicher?

Aufgrund der Art und Weise, wie APK-Dateien auf einem Telefon verteilt und installiert werden, besteht eine etwas größere Wahrscheinlichkeit, dass die App ein Sicherheitsrisiko darstellt, als wenn Sie einen offiziellen Store verwenden. Auf den meisten Android-Telefonen werden durch das Seitenladen einer App die von Google Play angebotenen Schutzmaßnahmen umgangen, und es ist möglich, dass ein APK vor der Installation auf Ihrem Telefon so modifiziert wurde, dass es Malware enthält.

Dies bringt jeden mit einem neueren Huawei-Handy in eine schwierige Lage. Wieso den? Die Blütenblattsuche von Huawei führt Sie zu APK-Repositories, wenn Sie nach einer App suchen, die nicht in der AppGallery verfügbar ist. Dies geschieht, wenn Sie Twitter, Instagram, Netflix, VSCO, Waze, Microsoft Teams, die Fitbit-App, Duolingo und viele andere gängige, häufig verwendete Apps verwenden möchten. Petal Search empfiehlt APK-Dateien von Websites wie APKPure, APKMonk, AppParks und Uptodown.

Wir wollten verstehen, was Huawei unternimmt, um Sie vor Schaden zu schützen, wenn Sie diese Websites und die von ihnen bereitgestellten APKs verwenden. Dr. Jaime Gonzalo sagte, dass Petal Search nur öffentlich verfügbare Websites betrachtet, nicht solche, die vor Google oder anderen Suchmaschinen verborgen sind, und dass es nur auf Websites verweist, die es für legitim hält. Beispielsweise muss die Website ein in Europa oder den USA registriertes Unternehmen sein. Huawei geht jedoch darüber hinaus, wie Gonzalo erklärte.

So prüft Huawei APK-Downloads

„Zuerst stellen wir sicher, dass die Quelle vertrauenswürdig ist, und überprüfen täglich alle Ergebnisse, und wir überprüfen die Sicherheit und Kompatibilität des Geräts“, erklärte Gonzalo und nannte die Bemühungen von Huawei auf höchster Ebene, die Glaubwürdigkeit der Links der Website Petal Search zu überprüfen zu. „Zweitens, wenn die App installiert ist, wird der Kanal verschlüsselt, sodass alle Nachrichten, die außerhalb des Prozesses gesendet werden, blockiert werden. Und drittens haben wir einen Echtzeit-Antiviren- und Malware-Prozess, was bedeutet, dass Sie bei regelmäßiger Nutzung [von APK-Sites] geschützt sind.“

Wenn Sie nach Apps suchen, priorisiert das System von Huawei zunächst die App Gallery. Aber wenn die App nicht da ist, sucht sie nach offiziellen Quellen. Wenn es in keinem von beiden enthalten ist, schließt die Suche Quellen von Drittanbietern ein.

„Wir prüfen die Popularität der Website und der App, um die Glaubwürdigkeit zu beurteilen, und stellen sicher, dass auf der Seite die neueste App-Version verfügbar ist, da diese normalerweise über die neuesten Sicherheitspatches verfügt. Am Ende des Prozesses führen wir eine interne Überprüfung durch, um nach Malware zu suchen.“

All dies geschieht, bevor die App installiert wird – was passiert dann?

„Auf dem Gerät selbst wird während des Downloads die Integrität der App überprüft, damit sie nicht parallel ein anderes APK dekompiliert oder installiert, und der Name der App wird verifiziert. Als nächstes kommt der Schutz vor Malware- und Virenbedrohungen, dann unser eigener KI-Sicherheitsschutz. Dadurch wird darauf geachtet, dass die App etwas Unerwartetes tut, z. B. versucht, auf etwas zuzugreifen, das sie nicht sollte. Wenn die KI dies erkennt, blockiert sie die Installation. Wenn nach all dem keine Bedrohungen vorliegen, kann die App installiert werden.“

Gonzalo sagte bezüglich der Installation von APK-Dateien: „Wir können sagen, dass das Sicherheitsrisiko gering ist“. Fernando Garcia Calvo verstärkte diese Zuversicht und enthüllte, dass seit dem Verlust des Zugriffs von Huawei auf Google Play im Jahr 2019 830 Millionen Apps über das Petal Search-System heruntergeladen wurden und mehr als die Hälfte nicht aus der AppGallery stammten. In dieser Zeit wurden keine Urheberrechtsansprüche dagegen erhoben, es gab keine Entwicklerbeschwerden gegen das System und auch keine offiziellen Benutzerbeschwerden bezüglich Malware oder Datenverlust durch einen Virus.

Nicht alle APKs sind gleich

Huawei scheint sicherlich viel zu tun, um Sie, Ihr Telefon und Ihre persönlichen Daten zu schützen. Es wird jedoch nicht empfohlen, APK-Dateien in allen Fällen herunterzuladen. Nehmen Sie als Beispiel Banking-Apps. Calvo sagte, Huawei habe Gespräche mit Banken zum Thema Apps geführt.

„Wir ermutigen sie [Banken], Apps in die App Gallery hochzuladen“, sagte er. „Am Anfang wollten wir Banking-App-APKs überhaupt nicht in Petal Search zeigen, aber wir haben festgestellt, dass die Leute sie trotzdem und ohne unsere Sicherheit finden wollen. Aus diesem Grund gehen die Links in Petal Search für Banking-Apps auf die Webversion der Banken und nicht auf eine APK.“

Huawei unterhält keine kommerziellen Beziehungen zu APK-Repositories, aber Gonzalo sagte, er betrachte die Verwendung von APK-Repositories als „akzeptiert und sicher, wenn man bedenkt, wie lange [die Websites] in Betrieb waren“. Wir haben APKPure, eine der Top-Empfehlungen von Huawei in Petal Search, kontaktiert, um diese Geschichte zu kommentieren. Auf unsere E-Mails reagierte das Unternehmen jedoch nicht.

Die Warnungen von Huawei zeichnen ein klares Bild

Offensichtlich möchte Huawei, dass Sie die gewünschten Apps auf Ihrem Telefon erhalten, und während es daran arbeitet, Sie bei der Verwendung von APK-Sites von Drittanbietern zu schützen, kann die Erfahrung auf dem Telefon selbst Sie immer noch beunruhigen.

„Das Herunterladen von Apps von externen Quellen kann Ihre Geräte und persönlichen Daten einem größeren Risiko aussetzen. Indem Sie Zulassen berühren, geben Sie an, dass Sie diese Risiken akzeptieren.“

„Die unten aufgeführten Apps, einschließlich verlinkter Inhalte und Seiten, sind Internet-Suchergebnisse, die automatisch basierend auf von Ihnen eingegebenen Schlüsselwörtern generiert werden. AppGallery zeigt nur diese Suchergebnisse an und ist nicht für deren Inhalt verantwortlich.“

Dies sind nur zwei der Warnungen, die Sie erhalten, wenn Sie eine Nicht-App-Galerie-App herunterladen, wodurch Huawei effektiv von allen gesetzlichen Verpflichtungen befreit wird, falls etwas schief gehen sollte. Außerdem hat mich Petal Search trotz der Versprechungen, dass es vor den Quellen von Drittanbietern auf offizielle Quellen verlinken würde, immer noch vor der offiziellen Website-Quelle zu AppParks für WhatsApp und Facebook gedrängt.

Downloader aufgepasst

Was denken Personen, die im Bereich Sicherheit oder App-Entwicklung arbeiten, über APK-Dateien? Assistenzprofessorin Cori Faklaris , die an der University of North Carolina über nutzbare Sicherheit forscht, sagte Digital Trends in einer Twitter-Nachricht, dass das Herunterladen von APK-Dateien oder das Seitenladen im Allgemeinen eine „Downloader-Vorsicht“-Situation ist. Abgesehen von APK-Dateien aus vertrauenswürdigen Quellen sagte sie:

„Wenn Sie glauben, dass Sie eine Malware-Infektion bewältigen oder die App selbst auf Sicherheitslücken analysieren können, und das mobile Gerät Ihnen gehört und nur in einem privaten Netzwerk verwendet wird, würde ich sagen, machen Sie es. Aber ich würde keine APKs auf Telefone herunterladen, die eine Verbindung zu öffentlichen Netzwerken oder institutionellen sicheren Netzwerken wie Unternehmen oder Schulen herstellen. Dann setzen Sie nicht nur Ihre Daten einem Risiko aus, sondern die aller Personen, die potenziell einem Hack ausgesetzt sind, weil Ihre Telefon-App mit dem Netzwerk verbunden ist.“

Was ist mit Entwicklern? Der App-Entwickler Roscoe Juckett sagte Digital Trends über eine Twitter-Nachricht, dass er zwar kein Problem damit habe, eine App auf Seiten wie APKPure zu veröffentlichen, aber immer noch Bedenken habe:

„Meine Sorge ist, dass die Leute es herunterladen, infizieren und erneut veröffentlichen“, und bezieht sich auf das Problem, Updates zu verwalten, um Probleme außerhalb eines offiziellen Stores zu beheben. Vielleicht bezeichnend, fügte er hinzu. „Ich stelle alle Apps meiner Kunden auf Google Play bereit, keiner hat mich gebeten, sie woanders bereitzustellen.“

Skandale in Bezug auf APK-Repositories sind zwar nicht allzu häufig, aber sie passieren. Im April 2021 deckte Kaspersky eine Trojaner-Infektion in der eigenen mobilen App von APKPure auf , die von einem schädlichen Werbe-SDK stammte. Es ist zwar bedenklich, dass Apps, die von offiziellen Quellen heruntergeladen wurden, in der Vergangenheit auch bösartige Werbung und andere Formen von Malware enthielten, sodass es sich nicht um ein Problem handelt, das nur für ein APK-Repository gilt.

Sicherheit nicht garantiert

Die Tatsache, dass Malware in Apps gefunden wurde, die von Google Play heruntergeladen wurden, zeigt, dass Apps im Allgemeinen Sicherheitsrisiken darstellen können – unabhängig davon, woher sie heruntergeladen werden. Besitzer von Huawei-Telefonen, die APK-Dateien für Apps herunterladen, sind wohl etwas weniger geschützt als jeder, der Google Play verwendet, aber Huawei hat sich bemüht, den Download und die Installation sicher zu machen. Es hat jedoch keine Kontrolle über die Apps oder die Websites von Drittanbietern, und wie seine Warnungen in der App Gallery zeigen, übernimmt das Unternehmen keine Verantwortung für Probleme, die sich aus der Verwendung dieser Apps ergeben.

Wo lässt dich das zurück? Es gibt einen gewissen Seelenfrieden, der dadurch entsteht, dass Huawei seine Sicherheitspraktiken teilt, aber seine Warnungen in der App Gallery und Petal Search betonen, dass Sie hier sehr auf sich allein gestellt sind. Wenn Sie sich Sorgen machen, sollten Sie vielleicht Huaweis Behandlung von Banking-Apps als Barometer verwenden. Wenn Sie die gespeicherten oder in eine App eingegebenen Informationen als sensibel betrachten oder sie für die Arbeit verwenden, ist die Verwendung einer Version aus einem inoffiziellen Repository möglicherweise nicht ratsam.