Pourquoi devrais-je activer "Installer des applications inconnues?"


11

J'ai un LG G7 Thin Q avec Oreo. En fouillant dans les paramètres, je suis tombé sur "Installer des applications inconnues". Paramètres -> Applications et notifications -> Accès spécial -> Installer des applications inconnues Capture d'écran des paramètres d'installation d'applications inconnues

Il s'agit d'une liste de programmes qui peuvent installer des applications inconnues. Seuls Messaging et Email sont autorisés à installer des applications inconnues.

Pourquoi Android a-t-il la possibilité pour les applications d'installer des applications inconnues? Il semble plutôt vulnérable aux malwares.

Réponses:


7

À partir d'Android Oreo, le chargement latéral (installation d'une application à partir d'une source autre que Play Store) est en fait devenu plus sécurisé.

Auparavant (Naugat ou ci-dessous), lorsque vous aviez l'habitude de cocher l'option "Sources inconnues", il autorisait en fait universellement toutes les sources apk (Chrome, Amazon Appstore, etc.). Cela signifie que le système ne se souciait pas de la source du fichier apk.

Maintenant, vous devez autoriser les applications individuelles qui peuvent être définies comme source. Et ne vous inquiétez pas: cette application autorisée ne pourra pas installer d'applications en arrière-plan. Vous devrez toujours appuyer sur le bouton Installer pour installer une application. Donc, aucun compromis de sécurité ici. Vous aurez simplement l'esprit tranquille en appuyant sur le bouton Installer. Si vous avez autorisé Amazon Appstore uniquement, vous pouvez être sûr que vous n'installerez pas une apk malveillante téléchargée en arrière-plan par une application d'annonceur.


Ce n'est en fait pas vrai. Même le bug actuel utilisé pour un exemple ci-dessous dans mon article concernant Fortnite faisait exactement cela. Si vous lui avez donné les autorisations d'installer Fortnite avec le "autoriser les sources inconnues" et que vous avez installé Fortnite, il a ensuite donné aux autres applications la possibilité d'installer des applications sans votre permission en arrière-plan avec le bogue qui était dans l'application.
Jay Snayder

L'attaque @JaySnayder Man-in-the-Disk est un scénario complètement différent. Si vous avez installé Fortnite, vous devez d'abord installer une application d'assistance. Cette application d'aide télécharge le fichier apk, puis vous installez le fichier apk en appuyant sur le bouton d'installation. Le bug a simplement permis à une application malveillante de remplacer le fichier apk téléchargé par l'application d'assistance.
Android Quesito

Une fois que l'assistant a trouvé son chemin dans le système, il peut installer silencieusement des applications sur votre appareil sans demande d'autorisation de l'utilisateur une fois que cette case est basculée.
Jay Snayder

@JaySnayder Ce n'est pas un comportement Oreo standard. Sur les appareils Samsung, le programme d'installation de Fortnite effectue l'installation de l'APK en mode silencieux via une API Galaxy Apps privée.
Android Quesito

4

Android représentait très tôt une "plate-forme ouverte", et cela aide à obtenir un peu de contexte.

Au moment de sa sortie, la plate-forme mobile était relativement unique avec une chaîne d'outils pour développeurs fonctionnant sur Windows, Mac et Linux. Chaque appareil peut être mis en «mode développeur» sans qu'il soit nécessaire d'enregistrer l'appareil auprès d'un serveur d'autorisation central (voir iOS d'Apple et plus tard Windows Phone de Microsoft).

La distribution d'applications sur les non-smartphones se faisait normalement par opérateur et certains de ces comportements ont persisté jusqu'en 2011, AT&T supprimant les "sources inconnues" de leurs téléphones:

https://forums.att.com/t5/Android/quot-Unknown-Sources-quot/td-p/2814557

et les opérateurs continuent de regrouper leurs propres applications sur les appareils vendus sur leur réseau, à savoir les logiciels bloatware.

La documentation officielle du développeur mentionne une distribution alternative:

https://developer.android.com/distribute/marketing-tools/alternative-distribution

En tant que plate-forme ouverte, Android offre le choix. Vous pouvez distribuer vos applications Android aux utilisateurs comme vous le souhaitez, en utilisant n'importe quelle approche de distribution ou combinaison d'approches qui répond à vos besoins. De la publication sur un marché d'applications au service de vos applications à partir d'un site Web ou en leur envoyant un e-mail directement aux utilisateurs, vous n'êtes jamais enfermé dans une plate-forme de distribution particulière.

Donc, si vous êtes développeur d'applications, une fois que vous pouvez vous permettre les appareils, vous pouvez en théorie télécharger les outils de développement gratuits, écrire les applications, les tester et déployer (environnement d'entreprise ou région non prise en charge par Google) sans jamais avoir à interagir avec Google à titre officiel.

Les applications de distribution tierces incluent l'App Store d'Amazon, Fortnite d'Epic Games et F-Droid (applications open source).

Avec Android 8.0, des autorisations d'installation à grain fin ont été ajoutées pour que l'utilisateur final puisse désormais bloquer les applications autorisées précédentes sans en bloquer d'autres:

https://developer.android.com/studio/publish/#publishing-unknown


3

Android propose cette fonctionnalité depuis un certain temps. Ils n'activent pas la fonctionnalité par défaut car elle contourne certains des principes de sécurité du système d'exploitation.

Lorsque vous installez à partir du Google Play Store, vous n'avez pas besoin que cette fonctionnalité soit activée. Le Google Play Store effectuera divers autres contrôles de sécurité sur les applications APK et s'assurera qu'il n'y a pas de trous de sécurité flagrants.

Un cas pour cela est lorsque vous sauvegardez des applications sur votre appareil. Vous pouvez créer des sauvegardes de vos applications pour le stockage hors ligne. Ensuite, vous pouvez installer directement à partir de ce fichier .apk que vous avez enregistré plus tard avec cette option activée. Ou si vous êtes un développeur, vous pouvez garder différentes versions disponibles pour une installation facile plus tard ou pour conserver d'autres versions de ce logiciel.

En règle générale, il n'est pas conseillé d'activer une partie de cette fonctionnalité et de télécharger les fichiers .apk trouvés sur le Web car ils pourraient ne pas être gentils. Mais il existe des sites d'hébergement d'applications. L'activation de cette fonctionnalité vous permet de télécharger à partir de ces sources.

FortNite était un exemple récent d'un jeu sorti en dehors du Google Play Store et vous deviez activer cette fonctionnalité et contourner la sécurité. La raison principale est saine; Google prend 30% des bénéfices lorsque vous utilisez leurs services. En raison de la popularité du jeu, Google a décidé de faire un audit de sécurité des serveurs du jeu lors de son lancement et a mis en évidence plusieurs failles de sécurité critiques dans leur système qui permettraient des installations silencieuses d'applications terribles ainsi que d'autres fonctionnalités. qu'il contournait. Ce qui, je pense, était intelligent de la part de Google, car même s'il n'aurait pas été dans leur cour de résoudre le problème, les doigts auraient pointé leur chemin.


Google ne prend PAS 30% uniquement pour l'utilisation du Play Store. L'hébergement d'une application sur le Play Store ne signifie pas qu'elle doit utiliser le processeur de paiement de Google (ce qui prend 30%). Fortnite pourrait héberger l'application sur Play Store et éviter tout de même des frais de 30% en utilisant PayPal ou son propre processeur de paiement.
Android Quesito

Il est intéressant de noter qu'ils n'ont pas suivi cette voie à l'époque. Bien que je suppose que ces autres options prendront probablement aussi une coupe et ils veulent les éviter complètement.
Jay Snayder du

La raison est surtout politique. Astuce: Partenariat entre Samsung et Fortnite.
Android Quesito

2

Pour pouvoir installer via des plates-formes supplémentaires telles que f-droid , où il existe un certain nombre de logiciels gratuits. Ceux-ci sont généralement open source et sans publicité, ce qui signifie que vous pouvez également y contribuer si vous le souhaitez.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.