TIP#1666: Je bezpečné na Android pořizovat aplikace mimo Google Play? Je sideloading bezpečný?

Klasický telefon s Androidem umožňuje pořizovat (instalovat) aplikace jenom z důvěryhodných zdrojů, což především znamená Google Play (ale může to být i aplikační obchod od Amazonu, na Samsungu jejich vlastní aplikační obchod, atd). Pokud byste chtěli pořizovat aplikace odjinud tak je nutné v Nastavení tuto variantu povolit. Pak budete moci získat odkudkoliv jakékoliv APK (soubor s aplikací) a to nainstalovat (viz  Je bezpečné si stahovat APK aplikací pro Android? A odkud je možné stahovat?).

Pokud chcete mít telefon (tablet) s Androidem bezpečný a bez větších rizik, tak si nic takového neaktivujte a všechny aplikace berte pouze z Google Play. Čas od času si můžete do telefonu pořídit něco nevhodného co prošlo skrz kontroly u Google, ale je to méně obvyklé a dá se tomu vyhnout i tím, že nebudete z Google Play stahovat každou hloupost a budete si dávat pozor na to jaká práva jim dáte (typicky je to poznatelné u svítilen co po vás budou chtít právo telefonovat a posílat SMS, například).

Stahovat/pořizovat aplikace odjinud má zásadní riziko – do jakékoliv aplikace je totiž možné přidat malware, virus, ransomware. Můžete tak velmi snadno přijít o peníze (přes volání na placené linky nebo prémiové SMS), někdo cizí se dostane k přihlašovacím údajům pro váš e-mail, sociální sítě. Hrozí i okradení přes online bankovnictví nebo přes získání údajů z platební karty. Samozřejmě i krádeže osobních údajů, informací a vůbec všeho co v telefonu máte.

V napadeném telefonu se pak už nebudete moci spolehnout ani na dvoufaktorové ověření – škodlivé software ho prostě využije. Využít může i brouzdání po Internetu kdy vám bude zobrazovat zcela jiné reklamy. Malware v mobilu navíc znamená, že si jeho tvůrci mohou do telefonu přidat jakékoliv další malware. Nebezpečný je i přístup k mikrofonu a ke kameře.

TIP: Důležité čtení najdete v Jak nastavit soukromí v mobilním telefonu či tabletu? Jak si chránit mobilní zařízení?

O tom jak problematický sideloading (jak se říká instalaci z jiných zdrojů) může být svědčí i to, že až do osmé verze Androidu (Oreo) stačilo prostě sideloading povolit (Většinou v Settings/Nastavení -> Lock Screen and Security/Uzamykání a bezpečnost).

Od osmé verze je to podstatně komplikovanější a nejde to povolit plošně, V Settings/Nastavení -> Apps and Notifications/Aplikace a upozornění se nově nastavuje pro každou jednotlivou aplikaci povolení pro sideloading. Takže pokud byste si například stáhli Amazon Store, tak můžete právě tomuhle dalšímu obchodu povolit instalaci vlastních APK.

Pro a proti sideloadingu

Sideloading je cesta jak si pořídit aplikace, které nejsou na Google Play. Ty co na klasickém obchodě jsou není důvod dostávat do telefonu tímto způsobem (jedině pokud jde o starší verze nebo pokud potřebujete obejít geofencing). V některých případech je nutné sideloading využít u aplikací koupených jinde, než v Google Play (může například jít o aplikaci koupenou přes Steam).

Takto pořízené aplikace mají ještě jednu nevýhodu – nebudou se automaticky aktualizovat. Novější verze si budete muset hledat, stahovat a instalovat (opět jako APK) sami. 

Pokud byste chtěli nějakou cestu jak poznat zda určité APK je bezpečné tak špatná zpráva. Spolehlivě se nic takového poznat nedá. Můžete zkoušet kontrolní (MD5) součet pokud můžete porovnat s tím správným od autorů. Měli byste se pečlivě podívat na práva, která aplikace bude chtít  – zda nejsou nesmyslně velká, zda jsou stejná jako u totožné aplikace v Google Play.

Můžete zkusit používat některý z mobilních antivirů, ale ty něco špatného dokáží odhalit jen výjimečně. Hlavně ale až dlouho poté, co jste si do telefonu pořídili malware (Jak ověřit, jestli v Androidu nemám nějaké malware či adware?).

TIP: Dá se telefon s Androidem provozovat bez účtu u Google?