Table des matières:
- Qu'est-ce qu'un malware?
- Logiciels malveillants dans Google Play
- Un magasin d'applications ouvert
- Autres magasins d'applications
- Google Play fonctionne pour tout le monde
En tant qu'utilisateurs de smartphones et citoyens d'Internet en général, nous sommes tous habitués à lire dans les gros titres comment il a été découvert que la boutique d'applications pour téléphones mobiles contient une poignée d'applications contenant des programmes malveillants et qu'elles ont été téléchargées plusieurs millions de fois. Ces histoires proviennent d'entreprises de sécurité qui consacrent 100% de leur temps à la recherche de ce genre de choses. Il est formidable que ces entreprises fassent tout ce sale boulot: plus on regarde les choses que l'on peut installer sur nos téléphones, mieux c'est. Mais il est tout aussi important de tout mettre en perspective. Ne minimisez pas les risques inhérents au téléchargement d’ une application sur n’importe quel type d’ordinateur, mais renforcez-la et découvrez ce qu’il ya de mieux en ce qui concerne ce que nous faisons.
Et, une fois que tout est dit et fait, Google Play est toujours le meilleur endroit où presque tout le monde peut utiliser pour télécharger une application. Bien sûr, ce n'est pas parfait. Même Google le sait. Mais lorsqu'il s'agit de minimiser les risques encourus lorsque vous partagez quelque chose avec une autre entreprise ou un particulier qui souhaite tirer profit de vos données, c'est votre meilleur pari.
Qu'est-ce qu'un malware?
La première chose à considérer est que la définition du logiciel malveillant varie. Pour vous et moi (et des sociétés de sécurité comme Sophos ou Lookout), un malware est une application ou une partie d'une application qui fait quelque chose que nous ne pensons pas qu'il devrait faire. Un jeu qui recueille des informations de votre carnet d'adresses ou une application dont les annonces suivent votre position et votre historique Internet est de la merde, et ce sont des logiciels malveillants. Mais il y a un autre facteur dans l'équation, qui demande la permission.
Les logiciels malveillants sont ce dont nous détestons tous parler, mais nous devons le faire de toute façon.
Les autorisations d'Android permettent à une application de faire des choses vraiment moche et de ne pas être classée comme un malware par un scanner automatique ou par Google lui-même. Et ça craint. Mais c'est également parfaitement acceptable à un autre niveau, car toutes les règles sont respectées. C'est pourquoi Google modifie régulièrement ces règles et interdit des superpositions telles que les superpositions d'écran. Lorsque votre application de gradation d'écran préférée ou cette barre latérale de votre téléphone Galaxy S changent son fonctionnement et que vous ne l'aimez pas, blâmez les développeurs merdiques qui ont utilisé une superposition pour inciter les gens à cliquer. Et il y en a beaucoup.
Le malware réel est une application qui fait une chose pour laquelle vous ne lui avez pas donné l'autorisation. Celles-ci existent et peuvent parfois se retrouver dans Google Play. Mais ils ne durent pas très longtemps et Google a des contrôles secondaires qui les empêchent d'être installés sur votre téléphone, même s'ils sont hébergés sur le Play Store et que vous les avez téléchargés. Même si une application fait quelque chose de difficile pour vous amener à ajouter quelque chose d'une source différente via un téléchargement direct, Google Play Protect analyse régulièrement toutes vos applications et la trouvera, à condition que vous l'ayez activé. Et vous devriez absolument l'avoir activé.
Logiciels malveillants dans Google Play
Comme mentionné ci-dessus, cela se produit. Vous verrez un titre partout (ce qui est une bonne chose) pour vous informer que des logiciels malveillants ont été détectés dans votre boutique d'applications. Vous verrez également combien de millions de fois le téléchargement a eu lieu et voir que 5 millions de personnes ont téléchargé une application capable d'exploiter le logiciel de leur téléphone et de renvoyer des données à un serveur est effrayant. Mais encore une fois, une certaine perspective est en ordre; Google indique qu'il y a plus de 2 milliards d'appareils Android actifs utilisant Google Play chaque mois. 5 millions de personnes, soit 0, 25% d'entre elles, ce qui signifie que 99, 75% des utilisateurs d'Android n'ont pas été exposés.
Tout malware dans un magasin d'applications est trop malicieux pour nos goûts. Google aussi.
Ce 0, 25% est encore trop élevé. Google accepte et a pour objectif ambitieux de supprimer zéro instance de malware dans son magasin. Ils savent aussi que cela ne va pas arriver, mais ils visent toujours haut. Et ils devraient parce qu'ils demandent notre confiance. La confiance ne devrait jamais être donnée librement et devrait également être rapidement révoquée si nécessaire. N'oubliez pas que Google est une énorme entreprise et que les personnes qui souhaitent faire tout ce qui est en leur pouvoir pour collecter vos données ne sont pas les mêmes que celles qui souhaitent faire tout ce qui est en leur pouvoir pour protéger vos données. Heureusement, Google embrasse les deux départements.
La plupart des "logiciels malveillants" trouvés dans Google Play sont d'autres types de logiciels malveillants. Les applications qui respectent les règles, mais dépendent de ce que vous ne lisez pas leurs autorisations (ou même que vous ne les connaissez pas) et que vous ne les installez pas quand même. C'est un problème plus important car il n'y a pas de solution facile.
Un magasin d'applications ouvert
Nous voulons et adoptons un magasin d'applications "ouvert". Cela signifie que tout le monde ne peut dépenser que 5 dollars, s'inscrire à Google Play et télécharger une application que vous et moi pouvons télécharger. Nous avons vu des applications étonnantes de personnes qui ne pourraient peut-être pas se permettre d'écrire des applications pour iOS en raison des frais et de l'équipement nécessaire (vous avez besoin d'un ordinateur Mac moderne pour écrire des applications iOS) et Google Play n'a pas les mêmes restrictions.. Mais avec le bien, il y a toujours du mal.
Google Play place une partie de la responsabilité sur les autorisations d’application. Lisez-les.
L'autre côté d'un magasin d'applications ouvert n'est pas aussi joli. N'importe qui avec un iPhone peut vous dire que toutes les applications de l'App Store ont le même niveau d'attention pour l'interface utilisateur et Apple vérifie chaque soumission afin de s'assurer qu'elle respecte ses normes pour l'expérience utilisateur et les données de l'application. capable de recueillir, et ce qu'il peut en faire. Cela provoque des maux de tête pour les développeurs, mais toute hyperbole mise à part, cela profite aux utilisateurs. C'est toi et moi
Google n'utilise pas les mêmes méthodes de soumission. Au lieu de cela, il répertorie les fonctionnalités d'Android, comment un développeur peut les utiliser via des API exposées, et oblige l'application à demander l'autorisation de le faire. Cela nous oblige, vous et moi, à permettre aux applications qui ne sont pas techniquement malveillantes de vivre sur nos téléphones. C'est bon et mauvais. nous devrions être en mesure d'installer tout ce que nous aimons depuis que nous avons payé l'appareil, mais la plupart des gens ne connaissent ni ne comprennent même pas les autorisations des applications, encore moins qu'elles les lisent.
Que signifient ces autorisations effrayantes?
Google a réussi à séparer les autorisations du processus d'installation et, depuis Android 6.0, vous avez été en mesure d'accéder à vos paramètres et de révoquer tout ou partie des autorisations d'une application. Mais cela n’est toujours pas suffisant, car nous avons vraiment besoin de savoir ce que les autorisations impliquent réellement et pourquoi une application en aurait un besoin légitime. Nous devrions assumer l'essentiel de la responsabilité en ce qui concerne les applications que nous installons sur nos téléphones et ce que ces applications peuvent faire. Mais nous devrions aussi être correctement informés de tout cela. À l'heure actuelle, les informations disponibles nécessitent une certaine expertise technique, ce qui n'est pas suffisant pour un produit destiné au grand public.
Autres magasins d'applications
J'utilise F-Droid depuis 2012, mais cela ne remplace pas Google Play pour la plupart des gens.Il existe d'autres magasins d'applications, et nous n'essayons pas de dire qu'ils ne sont pas sûrs de les utiliser. Tout le monde sait que Samsung, LG, Amazon et d’autres ont chacun leur propre marché pour les applications Android. F-Droid est un autre service populaire, qui héberge des logiciels 100% gratuits (le type de logiciel gratuit vous permettant d’obtenir le code source et de le créer vous-même) pour les appareils Android. En règle générale, vous pouvez être sûr que les applications que vous obtiendrez de l’un de ces magasins seront sûres. Amazon et F-Droid analysent les applications téléchargées et Google Play Protect les analysent également régulièrement, mais vous devez également prendre en compte d'autres éléments.
Vous savez que Samsung ou F-Droid proposent des applications sûres parce que vous lisez un blog Android; Tout le monde ne lit pas les blogs Android.
Des entreprises telles que Samsung ou Amazon sont également présentes dans le secteur des données et appliquent leurs propres règles en matière de collecte, de collecte et de partage des ressources. F-Droid nécessite que vous désactiviez une fonction de sécurité connue et que vous autorisiez les applications de "sources inconnues" sur votre téléphone à installer des applications. Aucune de ces situations n’est mauvaise, mais elle impose un fardeau supplémentaire à l’utilisateur.
J'ai utilisé tous les magasins mentionnés ci-dessus, et j'aime beaucoup F-Droid en particulier parce que cela fait appel à mon amour pour les logiciels libres et à code source ouvert. Beaucoup de gens lisant ceci auront fait la même chose. Mais si vous lisez en ligne un blog Android, vous n'êtes pas le "consommateur moyen" pour lequel Android et les téléphones qui l'exploitent sont conçus. De nombreuses personnes possédant un téléphone Android ne sont pas enclines sur le plan technique, et même celles qui le sont ne sont peut-être pas intéressées par la modification des paramètres de sécurité ou le tri d'un autre CLUF pour utiliser un autre magasin d'applications. Nous sommes ici pour aider à informer tout le monde, mais notre portée est extrêmement limitée lorsque vous revenez à ce nombre d'utilisateurs mensuel de 2 milliards.
Google Play fonctionne pour tout le monde
Nous ne sommes pas des pom-pom girls ici, mais Google Play reste le meilleur endroit pour obtenir des applications pour son téléphone. Google a un intérêt direct dans la plate-forme Android, et il sait que l'App Store est la raison pour laquelle il compte 2 milliards d'utilisateurs. Il consacre beaucoup d’argent et de temps à le rendre aussi sûr que possible ou du moins à essayer de le faire.
Nous voulons que Google travaille dur pour rendre le Play Store encore meilleur pour les utilisateurs et les développeurs.
Cependant, il reste encore beaucoup à faire. Revenez aux deux définitions différentes des logiciels malveillants et à la façon dont la plupart d'entre eux sont finalement installés sur le téléphone de quelqu'un (y compris le vôtre et le mien). Les règles actuelles de Google autorisent des opérations telles que la collecte inutile de données ou l'injection sommaire d'annonces, car les utilisateurs ne connaissent ni ne comprennent les règles. Les délinquants connaissent les règles et savent très bien les contourner afin de tirer profit de nos données. Ils dépendent de consommateurs non informés qui font des choix illogiques lors de l’installation d’applications, et il faut enfin que cela se termine.
Tout compte fait, Google Play reste votre meilleur choix pour une vaste sélection d'applications sûres. Le faible pourcentage qui correspond à l'une ou l'autre des définitions de malware est une chose à laquelle il faut s'attaquer, mais elles sont peu nombreuses, et pourraient très bien se trouver également dans d'autres magasins d'applications. Les "utilisateurs expérimentés", faute d'un meilleur terme, peuvent tirer parti d'autres marchés ouverts tels que F-Droid, mais nous recommandons tous ici à Android Central de diriger quiconque vers Google Play et de croire que c'est la bonne décision.