APK staat voor Application Package en is het installatiebestand waarmee apps worden aangeboden op het Android-platform. Maar voor de doorsnee bezitter van een Android-smartphone of -tablet zal de term wellicht onbekend zijn, zeker als die alleen apps downloadt via Google Play. Búiten de officiële Android-appwinkel wordt APK opeens een relevant begrip. Handmatig downloaden van een APK-bestand - een app dus - kan interessant zijn, maar er kleven ook risico’s aan. Een goede reden om ze nader te bekijken.

Elke Android-telefoon en -tablet wordt geleverd met een stevig aantal voorgeïnstalleerde apps. En wil je als gebruiker een nieuwe app downloaden, dan ga je daarvoor naar Google Play. Dat is tenminste de vanzelfsprekende route en ook de reden waarom voor de meesten de term APK als downloadbaar bestand  niet in beeld komt. Die apps die je in de appwinkel vindt, zijn door Google gecontroleerd en goedgekeurd en worden volautomatisch op de achtergrond geïnstalleerd. Daarna hoef je hem alleen nog maar te openen.

Voordelen
Android biedt echter, in tegenstelling tot Apple, ook de mogelijkheid om apps buiten zijn eigen appwinkel om te installeren. Dit zogenoemde sideloaden kan interessant zijn, want er zijn heel wat legitieme redenen waarom een app niet beschikbaar is in Google Play. Dan gaat het bijvoorbeeld om oudere versies van apps. Misschien vind je de laatste app-updates geen verbetering en wil je terug naar een eerdere uitgave. Of je hebt een wat ouder toestel dat niet voldoet aan de systeemeisen van de meest recente app-versie die in Google Play staat. Maar ook voor early adopters zijn APK-bestanden interessant als apps nog niet hun weg tot de officiële appwinkel hebben gevonden. Dan gaat het om testversies of om gelekte apps die al voor de officiële verschijningdatum als APK beschikbaar zijn. Je vindt die dan via andere bronnen zoals websites en forums.

Bovendien zijn er appbouwers die wel gebruikmaken van de opensource Android-architectuur, maar geen trek hebben in Google’s app-beleid en financiële verplichtingen. Voor beginnende app- en gamebouwers is de Play Store soms nog een brug te ver. Er bestaan complete APK-sites, zoals Aptoide, een gelikte omgeving waarin je spelletjes en toepassingen als losse apps en APK-bestanden kunt downloaden, installeren en openen.

Aptoide Logo liggend

Tot slot komt het voor dat apps niet overal beschikbaar zijn in Google Play, wat te maken kan hebben met de rechten van de appontwikkelaars of met lokale wetgeving. Website tech-talk.org noemt als voorbeeld de app voor IQ Option, een volgens die site betrouwbaar online beleggingsplatform. Deze app is echter in landen met een wat strakker financieel regime niet toegestaan. Liefhebbers kunnen hem alsnog downloaden als APK-bestand, rechtstreeks vanaf de website van IQ Option zelf.

Nadelen
Apps installeren buiten Google Play om brengt risico’s met zich. De apps die je in de officiële Google-winkel vindt, zijn gecontroleerd en – hoewel hier ook wel kritiek op wordt geleverd – veilig te downloaden. Van de gemarkeerde piste af gaan doe je dan ook op eigen risico.

Wat het APK-bestand precies inhoudt, zien we zo, maar in feite is het een exe.bestand zoals je dat bij Windows tegenkomt: het installeert diverse bestanden op je smartphone of tablet en ergens in die bestanden kan malware zijn verstopt: virussen, trojaanse paarden, noem ze maar op. Wie op zoek is naar leuke APK’s, moet zich dus extra goed informeren over de afzender. Download daarom maar alleen een APK-bestand als je het vertrouwt, onder andere door recensies te lezen en je via betrouwbare sites op te hoogte te stellen. Ook kun je een website als VirusTotal.com gebruiken om het bestand op je computer te scannen op malware vóórdat je het downloadt op je mobiele toestel.

Knipsel virustotal

Er zijn echter ook betrouwbare zoekmachines en startpagina’s voor APK-bestanden. Wellicht een van de bekendste is APK Mirror. Deze website van de mensen achter Androidpolice.com wil een vertrouwde omgeving bieden voor APK’s en het is opvaellend om te zien dat je er niet alleen apps van startende ontwikkelaars tegenkomt, maar ook gevestigde namen zoals Adobe en ook Google zelf. Dit soort grote aanbieders testen hier blijkbaar hun pilotversies. APK Mirror heeft inmiddels zelf een eigen Android-installatieapp gebouwd voor APK-bundels die als bètaversie te testen is in Google Play… en zo is de cirkel weer rond.

apk mirror installer

APK Pure is een andere zoekmachine voor APK’s (die zie zichzelf overigens presenteert als reclamevrij, maar dat allesbehalve is.)

Hoe zien het eruit?
Het APK-bestand is een pakketje met daarin alle benodigde bestanden voor het Android-programma. Het bevat onder meer de volgende bestanden en mappen:
- META-INF /: Bevat het manifestbestand, de handtekening en een lijst met bronnen in het archief
- lib /: Native bibliotheken die draaien op specifieke architecturen (zoals armeabi-v7a, x86, etc.)
- res /: bronnen, zoals afbeeldingen, die niet zijn gecompileerd in resources.arsc
- assets /: onbewerkte bronbestanden die ontwikkelaars met de app mee bundelen
- AndroidManifest.xml: beschrijving van de naam, versie en inhoud van het APK-bestand
- klassen.dex: de gecompileerde Java-klassen die op het apparaat moeten worden uitgevoerd (.dex-bestand)
- resources.arsc: de gecompileerde bronnen, zoals strings, die door de app worden gebruikt (.arsc-bestand)

APK-bestanden worden gecomprimeerd opgeslagen en kunnen worden uitgepakt met elke Zip-tool. Je kunt daartoe desgewenst de bestandsextensie hernoemen naar .zip. Maar programma’s als 7-Zip, RAR en StuffIT werken ook.

Installeren op smartphone
Voor het downloaden van dit voorbeeld-bestand, een WhatsApp-bètaversie voor een donkere achtergrond, kwam deze waarschuwing in beeld:

downloaden apk waarchuwing 1

 

Op OK klikken leidde tot een volgende waarschuwing. Want wil je apps van buiten Google Play installeren, dan wil je Android-apparaat namelijk uit veiligheidsoverwegingen eerst je expliciete toestemming daarvoor. Op elk Android-toestel is dat net weer anders geregeld, bij Samsung vind je die instelling bijvoorbeeld onder Speciale App-toegang en dan Onbekende apps installeren. Op deze Oppo Find-smartphone met zijn ColorOS-schil open je eerst de Instellingen en ga je naar Beveiliging. Daar staat onder App-installatie de instelling Onbekende broninstallaties.

instelling onbekende bronnen 1

Aantikken van de eerdergenoemde APKMirror Installer (beta) geeft een tweede waarschuwing:

instelling onbekende bronnen 2

Pas na Toestaan begint de download. Inmiddels mag duidelijk zijn dat een gewaarschuwd mens voor twee telt: weet wat je doet als je een APK-bestand downloadt. Is het bestand eenmaal gearriveerd, dan installeer je het via de Downloads-map, eventueel na het eerst te hebben uitgepakt.