Les applications sur le Android Market sont-elles vérifiées ou auditées?
Si je recherche sur Google "renforcer Android", le meilleur résultat que je peux trouver est Google Android Hardening Checklist.
Quel est votre avis à ce sujet? Existe-t-il un moyen de rendre Android plus sûr ou plus sécurisé?
Il ne suffit qu'une seule fois de payer des frais de 25 $ pour qu'un développeur commence à mettre des applications sur le marché. Pas de tracas à traverser. 25 $ et vous pouvez publier autant d'applications que vous le souhaitez, instantanément. Pas d'attente, pas de files d'attente, pas de processus d'approbation, nada.
Cependant, il y a eu quelques cas d'applications malveillantes. Lorsque ces problèmes surviennent, Google les retire généralement du Market (et des téléphones des utilisateurs). Cela n'arrive pas très souvent.
Android a été conçu pour vous protéger : toutes les applications doivent demander des "autorisations" pour faire certaines choses : passer des appels, lire des données de contact, accéder à Internet, etc. Lisez les autorisations avant d'installer une application. Assurez-vous de savoir et de comprendre ce qu'elle va faire. Semble-t-elle avoir une "autorisation" douteuse à laquelle elle demande l'accès ? Cependant, en même temps, ne réprimandez pas le développeur à cause de certaines autorisations. Certaines annonces diffusées dans les applications nécessitent au moins l'autorisation Internet et parfois quelques autres (concernant l'état du téléphone, je crois). Assurez-vous de bien comprendre pourquoi un développeur aurait besoin de certaines autorisations. Plus important encore, lisez ce que les autres disent de l'application sur le marché. Lisez certains des commentaires (bien que vous deviez savoir que les commentaires sur le marché Android sont du même niveau que Youtube en termes de qualité) et voyez quelle est la note de l'application. Avez-vous déjà entendu parler de l'application ? Un blog l'a-t-il mentionnée ou examinée ?
Scénario le pire : si vous n'êtes pas rooté, alors aucune application unique ne devrait être en mesure d'endommager votre téléphone car chaque application est isolée des autres (techniquement, chaque ensemble d'applications d'un développeur est isolé des autres. Les applications signées par la même clé de développeur peuvent avoir accès aux autres applications signées par la même clé de développeur). Elles pourraient éventuellement voler vos données, en fonction du nombre d'autorisations accordées à l'application. Le scénario le plus rare auquel je puisse penser est si une application utilise une faille pour permettre l'accès root à votre téléphone puis fait quelque chose de malveillant (par exemple, tout supprimer).
Google a ajouté une nouvelle couche de sécurité au marché Android en février 2012.
Ajouter une nouvelle couche à la sécurité d'Android
Aujourd'hui, nous dévoilons un service que nous avons développé, appelé Bouncer, qui effectue une analyse automatisée du Market Android pour détecter des logiciels potentiellement malveillants sans perturber l'expérience utilisateur du Market Android ou exiger des développeurs qu'ils passent par un processus d'approbation d'application.
Pour plus d'informations, lire ici : http://googlemobile.blogspot.com/2012/02/android-and-security.html
Android 4.2 a ajouté une sécurité supplémentaire avec un paramètre qui permet au scanner de sécurité de Google de (optionnellement) analyser toutes vos applications non issues du Market (c'est-à-dire installées à partir de sources tierces) à la recherche de logiciels malveillants.
Cette fonctionnalité est une extension de la technologie de sécurité que Google a introduite pour le Play Store en février dernier. Alors que cette technologie fonctionnait exclusivement côté serveur, analysant les applications téléchargées sur le Play Store, le nouveau système fonctionne avec votre appareil et analyse toutes les applications que vous installez à partir de sources tierces (un processus connu sous le nom de "sideloading").
(ComputerWorld : L'intérieur du puissant nouveau système de sécurité d'Android 4.2)
Je ne crois pas que Google audite explicitement les applications du Market. Ils doivent probablement effectuer quelques vérifications maintenant pour détecter les logiciels malveillants connus (édité : oui, voir la réponse de Leandros) et ce genre de choses, mais les applications Android ne passent pas par un processus d'approbation comme les applications iOS. Voir http://fr.wikipedia.org/wiki/Android_Market#Sécurité_des_applications
La meilleure façon de sécuriser votre appareil est de vous assurer que d'autres n'y ont jamais accès et de vous assurer de télécharger uniquement des applications de confiance. Android utilise un noyau de type Linux et dispose d'un modèle de sécurité très cloisonné, ce qui en fait un système d'exploitation très sûr en soi. Vous devez principalement vous protéger contre les erreurs des utilisateurs :)
Aucune plate-forme n'est à 100% à l'épreuve des utilisateurs, donc faites preuve de prudence et de bon sens de la même manière que vous le faites sur votre ordinateur de bureau - vous ne téléchargeriez probablement pas un programme aléatoire sur votre ordinateur dont vous avez entendu parler sur un site Web sans effectuer des recherches préalables, même avec un programme antivirus/dernières mises à jour installé.
Mêmes règles ici - faites-vous une faveur et obtenez plus d'informations sur le programme qui vous intéresse et ses développeurs. Les commentaires du marché sont généralement un bon point de départ, mais consulter d'autres sites liés à Android ne fera pas de mal non plus.
En supposant que vous soyez aux États-Unis, la nouvelle et récemment lancée Amazon Android Appstore vérifie et audite les applications avant de les mettre en ligne sur le magasin, ce qui en fait un endroit plus sûr pour obtenir vos applications.
À partir de leur FAQ des développeurs:
Notre objectif est que les clients de l'Amazon Appstore aient une bonne expérience avec chaque application achetée dans l'Appstore. Par conséquent, nous testerons les applications que vous soumettez avant de les rendre disponibles dans notre magasin afin de vérifier que chaque application fonctionne comme décrit dans votre description de produit, n'entrave pas la fonctionnalité de l'appareil mobile ou ne met pas les données des clients en péril une fois installée, et conforme aux conditions de l'Accord de Distribution et à nos Lignes Directrices en matière de Contenu.
Cependant, comme ils viennent de lancer cette semaine, ils n'ont pas encore de dossier à long terme que nous pouvons consulter pour voir à quel point leur processus de sélection est efficace, et ce qu'ils font si une application réussit à passer à travers leur processus d'une manière ou d'une autre.
AndroidAlle est une communauté de androiders où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
