Hay varias formas para obtener aplicaciones de Android de una manera privada, incluso desde Google Play Store, sin interactuar con los Servicios de Google Play. Recomendamos los siguientes métodos de obtener aplicaciones en Android, listados en orden de preferencia.
Obtainium¶
Obtainium es un gestor de aplicaciones que permite instalar y actualizar aplicaciones, directamente desde la propia página de lanzamientos del desarrollador (por ejemplo, GitHub, GitLab, el sitio web del desarrollador, etc.), en vez de una tienda o repositorio centralizado. Es compatible con las actualizaciones automáticas en segundo plano en Android 12 y versiones superiores.
Downloads "Descargas"
Obtainium te permite descargar los archivos instaladores APK desde una amplia variedad de fuentes, y depende de ti asegurarte que esas fuentes y aplicaciones son legítimas. Por ejemplo, utilizar Obtainium para instalar Signal desde la página de Signal puede estar bien, pero realizar la instalación desde repositorios de terceros como Aptoide o APKPure puede generar riesgos adicionales. El riesgo de instalar una actualización maliciosa es bajo, porque Android verifica que todas las actualizaciones se encuentran firmadas por el mismo desarrollador de la aplicación existente en tu teléfono antes de instalarla.
Tienda de aplicaciones de GrapheneOS¶
La tienda de aplicaciones de GrapheneOS está disponible en GitHub. Es compatible con Android 12 y superiores, y es capaz de actualizarse por si misma. La tienda de aplicaciones tiene aplicaciones independientes creadas por el proyecto GrapheneOS, como Auditor, Cámara y Lector PDF. Si estás buscando estas aplicaciones, te recomendamos obtenerlas desde la tienda de aplicaciones de GrapheneOS en vez de la Play Store, porque las aplicaciones en su propia tienda se encuentran firmadas con las propias firmas del proyecto GrapheneOS, que no pueden ser accesadas por Google.
Aurora Store¶
Google Play Store requiere una cuenta de Google para iniciar sesión, algo poco ideal para la privacidad. Puedes evitar esto usando un cliente alternativo como Aurora Store.
Aurora Store es un cliente de Google Play Store que no requiere una cuenta de Google, los Servicios de Google Play o microG para la descarga de aplicaciones.
Downloads "Descargas"
Aurora Store no permite descargar aplicaciones de pago con su función de cuenta anónima. Opcionalmente, puedes iniciar sesión con tu cuenta de Google en Aurora Store para descargar las aplicaciones que has comprado, lo que permite a Google accesar al listado de aplicaciones instaladas. Sin embargo, todavía te beneficias de no requerir el cliente completo de Google Play, además de los servicios de Google Play o microG en tu dispositivo.
Manualmente con notificaciones RSS¶
Para las aplicaciones que son publicadas en plataformas como GitHub y GitLab, puedes añadir un canal RSS a tu agregador de noticias que te ayudará a rastrear los nuevos lanzamientos.
GitHub¶
En GitHub, usando Secure Camera como un ejemplo, puedes dirigirte a su página de lanzamientos y añadir .atom a la URL:
https://github.com/GrapheneOS/Camera/releases.atom
GitLab¶
On GitLab, using Aurora Store as an example, you would navigate to its project repository and append /-/tags?format=atom to the URL:
https://gitlab.com/AuroraOSS/AuroraStore/-/tags?format=atom
Verifying APK Fingerprints¶
If you download APK files to install manually, you can verify their signature with the apksigner tool, which is a part of Android build-tools.
-
Install Java JDK.
-
Download the Android Studio command line tools.
-
Extract the downloaded archive:
unzip commandlinetools-*.zip
cd cmdline-tools
./bin/sdkmanager --sdk_root=./ "build-tools;29.0.3"
- Run the signature verification command:
./build-tools/29.0.3/apksigner verify --print-certs ../Camera-37.apk
- The resulting hashes can then be compared with another source. Some developers such as Signal show the fingerprints on their website.
Signer #1 certificate DN: CN=GrapheneOS
Signer #1 certificate SHA-256 digest: 6436b155b917c2f9a9ed1d15c4993a5968ffabc94947c13f2aeee14b7b27ed59
Signer #1 certificate SHA-1 digest: 23e108677a2e1b1d6e6b056f3bb951df7ad5570c
Signer #1 certificate MD5 digest: dbbcd0cac71bd6fa2102a0297c6e0dd3
F-Droid¶
==We only recommend F-Droid as a way to obtain apps which cannot be obtained via the means above.== F-Droid is often recommended as an alternative to Google Play, particularly within the privacy community. The option to add third-party repositories and not be confined to Google's walled garden has led to its popularity. F-Droid additionally has reproducible builds for some applications and is dedicated to free and open-source software. However, there are some security-related downsides to how F-Droid builds, signs, and delivers packages:
Due to their process of building apps, apps in the official F-Droid repository often fall behind on updates. F-Droid maintainers also reuse package IDs while signing apps with their own keys, which is not ideal as it gives the F-Droid team ultimate trust. Additionally, the requirements for an app to be included in the official F-Droid repo are less strict than other app stores like Google Play, meaning that F-Droid tends to host a lot more apps which are older, unmaintained, or otherwise no longer meet modern security standards.
Other popular third-party repositories for F-Droid such as IzzyOnDroid alleviate some of these concerns. The IzzyOnDroid repository pulls builds directly from GitHub and is the next best thing to the developers' own repositories. However, it is not something that we can fully recommend, as apps are typically removed from that repository if they are later added to the main F-Droid repository. While that makes sense (since the goal of that particular repository is to host apps before they're accepted into the main F-Droid repository), it can leave you with installed apps which no longer receive updates.
That said, the F-Droid and IzzyOnDroid repositories are home to countless apps, so they can be a useful tool to search for and discover open-source apps that you can then download through other means such as the Play Store, Aurora Store, or by getting the APK directly from the developer. You should use your best judgement when looking for new apps via this method, and keep an eye on how frequently the app is updated. Outdated apps may rely on unsupported libraries, among other things, posing a potential security risk.
F-Droid Basic
In some rare cases, the developer of an app will only distribute it through F-Droid (Gadgetbridge is one example of this). If you really need an app like that, we recommend using the newer F-Droid Basic client instead of the original F-Droid app to obtain it. F-Droid Basic supports automatic background updates without privileged extension or root, and has a reduced feature set (limiting attack surface).