Comment pouvons-nous être assurés que l'APK d'une application que nous téléchargeons à partir d'un site Web est sûr à installer sur notre téléphone Android?
Y a-t-il un moyen de savoir si le fichier téléchargé est sûr? Existe-t-il une application ou un service qui analyse le fichier APK et indique Ce fichier est sûr à installer.
Il est difficile de savoir si un APK est sûr ou non. Votre meilleure option est de le télécharger à partir de sources fiables ou réputées (comme Google Play, Amazon, etc).
Certains développeurs de confiance fournissent également un hachage MD5 (ou autre algorithme de hachage de message) de leurs APK. Après avoir téléchargé l'APK, vous pouvez vérifier si l'APK a le même hachage. Si c'est le cas, alors il est sûr de dire qu'il n'a pas été altéré.
Vous pouvez également vérifier les autorisations requises par l'APK / l'application, et utiliser votre bon sens (ou votre propre jugement / instinct) pour déterminer s'il est sûr ou non de l'installer.
CONCLUSION : Installez toujours à partir de sources fiables. Évitez les APK piratés ; il est possible qu'ils contiennent des logiciels malveillants.
Y a-t-il une application qui peut détecter si cette application contient un logiciel malveillant?
Honnêtement, je n'ai pas confiance en n'importe quel antivirus sur Android parce qu'ils ne fonctionnent pas si vous ne les activez pas, je veux dire par exemple sur un ordinateur de bureau, si vous installez un antivirus, dès le démarrage, il fonctionne déjà en arrière-plan et surveille vos fichiers. Je ne sais pas si vous pouvez faire cela aussi sur un téléphone portable.
Google a introduit une option Vérifier les applications (Interdire ou avertir avant l'installation d'applications susceptibles de causer des dommages) pour les applications chargées latéralement lorsque les sources inconnues sont activées (les deux paramètres disponibles dans Paramètres -> Sécurité -> administration de l'appareil).
Vous pouvez également utiliser un scanner de virus en ligne comme Virus Total pour vérifier votre fichier .apk téléchargé.
Mais c'est la même chose avec chaque service de scan : Ils ne sont pas sûrs à 100% et détectent probablement seulement des applications malveillantes déjà connues. Les malwares personnalisés risquent probablement de rester non détectés. De plus, les applications malveillantes très nouvelles risqueront probablement de passer entre les mailles du filet jusqu'à ce qu'elles soient détectées après un certain temps.
Les scanners de logiciels malveillants ont été trouvés à être facile à contourner (il suffit de faire une petite recherche Google), donc je ne leur ferais pas confiance davantage car je peux le constater moi-même. Cela inclut les applications de vérification de Google.
Bien sûr. Cependant, vieux logiciels malveillants sont régulièrement trouvés. Aucun scanneur de logiciels malveillants ne fournit une sécurité à 100%, vous pouvez même obtenir des applications malveillantes depuis le magasin officiel de Play (et l'App Store d'Apple n'est pas une exception à cela). Ces scanneurs améliorent votre sécurité, si vous avez besoin de charger des applications de manière latérale. C'est comme le nouveau scanner d'empreintes digitales d'Apple: déjà contourné, mais bien mieux que aucun verrouillage de code PIN du tout (~40% des propriétaires n'ont pas de code PIN pour des raisons de commodité).
Si vous téléchargez les fichiers .apk à partir de sources inconnues / non fiables, il n'y a pas de moyen facile pour juger. La plupart des solutions anti-quelles que ce soit (anti-virus, anti-logiciels malveillants, etc.) se contentent de se baser sur des "entrées de base de données" (c'est-à-dire qu'elles ont une base de données de logiciels malveillants connus, et vérifient si le nom du paquet correspond), ou vérifient uniquement les autorisations demandées (et non pas si par exemple une application SMS envoie uniquement les SMS que vous souhaitez). Je n'ai jamais entendu parler d'un scanner heuristique "réel" analysant le comportement d'une application.
Même s'il pourrait théoriquement être possible qu'un "scanner" vérifie également une sorte de somme de contrôle (comme le MD5 mentionné), cela ne fonctionnerait qu'avec une "base de confiance" comme par exemple le Play Store. Pour les applications qui n'y sont pas disponibles, cela échouerait alors (rien à comparer). Et même pour les applications disponibles là-bas, il faudrait vérifier contre la même version exacte. Une telle solution est à peine pratique.
Alors que mes arguments peuvent différer, ma conclusion est presque la même que celle de geff: Installez uniquement à partir de sources fiables. Bien que rien ne soit à 100% sécurisé, cela pose les risques les plus limités possibles. Le plus grand risque concerne les choses piratées, car il est très probable qu'elles soient injectées avec des "mauvaises choses".
Une façon de juger est de comparer le certificat à des éditeurs connus (c'est-à-dire, si vous voulez la dernière version de l'apk Ingress de Google, allez-y et comparez simplement s'il est signé avec le même certificat que celui déjà installé). Vous pouvez mettre à niveau les applications déjà installées (à partir du Play Store) avec le chargement latéral si le certificat est le même. Ce sera une option sûre (si elle est applicable).
Le fait-il automatiquement comparer le certificat si vous mettez à niveau une application via le chargement latéral, ou devez-vous faire quelque chose pour vérifier que le certificat est le même? Si oui, comment vérifieriez-vous cela?
@LeBleu si l'application était déjà installée sur votre appareil, alors oui. Ensuite, le nouveau .apk doit être signé en utilisant la même "clé" que celle utilisée par l'ancienne installation, sinon la mise à jour échouera.
Vous pouvez télécharger le package dans un bac à sable mobile pour voir ce qu'il fait. Les bac à sable exécuteront le binaire et vous pourrez voir les résultats de l'exécution. Cela fonctionnera également pour certains logiciels malveillants autrefois inconnus car ils n'ont pas besoin d'être dans une base de données av avant. Des exemples de bacs à sable sont MobileSandbox, CopperDroid, SandDroid, TraceDroid, Joe Sabdox Mobile, ForSafe et d'autres.
Comme toujours, il n'y a pas de sécurité à 100%, mais il n'y a pas non plus de sécurité complète lors du téléchargement à partir du Play Store...
Virustotal, qui a été mentionné ci-dessus, a récemment commencé à exécuter certains échantillons dans un bac à sable et est bien sûr toujours un bon choix car il teste contre une multitude de logiciels malveillants déjà connus. Un service similaire à Virustotal mais spécifique à Android est AndroTotal.
AndroidAlle est une communauté de androiders où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
1 votes
Si c'est une application payante ou prise en charge par des publicités dans les magasins officiels et que la version que vous installez manuellement est sans publicité et gratuite, ce n'est pas sécurisé.