Peut-il y avoir des applications malveillantes sur Google Play?

28

Dois-je m'inquiéter des applications malveillantes sur Google Play, ou puis-je faire confiance à tout ce que j'installe, tant que je l'installe à partir de Google Play?

Et si je dois m'inquiéter, quels drapeaux rouges devrais-je rechercher - nombre de téléchargements, évaluations, quel âge l'application a, quelles autorisations elle nécessite?

Sur le plan pratique, diriez-vous qu'il est aussi sûr que l'App Store d'Apple?

applications  google-play-store  security  malware 
sashoalm
source
6
Pour faire court: aucun service de distribution de logiciels n'est sûr à 100%. Chaque application doit être évaluée individuellement.
dotVezz
4
ale
@dotVezz Merci. Donc, Android est aussi sûr que l'App Store d'Apple? J'ai eu un iPad, j'ai récemment acheté un Xperia S et je me demandais.
sashoalm
Comme Izzy l'a dit, "Nous ne comparons pas les pommes aux pêches" (ou quelque chose comme ça). Il est probable que le Play Store ait à tout moment plus d'applications malveillantes que l'App Store. Mais cela ne rend ni l'un ni l'autre plus dangereux que l'autre. La simple présence d'une application malveillante ne porte pas atteinte à la sécurité d'un système de distribution. En fin de compte, vous êtes responsable de rechercher tout ce que vous installez sur votre appareil.
dotVezz
3
@dotVezz est techniquement correct, mais c'est une bonne question car il est utile d'avoir une idée de votre exposition au risque. Par exemple, vous êtes plus sûr d'installer une application à partir du Play Store que certains aléatoires que .apkvous avez trouvés sur les interwebs. Cette question pourrait aider les gens à comprendre à quel point ils sont plus sûrs.
Reid

Réponses:

34

Nous ne comparons pas les pommes avec les pêches. Mais c'est toujours une bonne idée de faire attention à ce que vous installez. Vrai, Google Play doit être considéré comme l'une des sources les plus sûres pour les applications Android. Pourtant, certains logiciels malveillants se faufilent de temps en temps. Vous devez donc faire preuve de bon sens avant de cliquer sur le bouton "Installer".

Les choses à regarder incluent (mais ne se limitent pas à):

  • Quelles autorisations sont nécessaires?
    Bien qu'il ne soit pas toujours facile de décider, il y a certaines choses qui peuvent compter comme indicateurs - par exemple, en prenant une simple application de calculatrice, elle n'a certainement pas besoin d'accéder à vos contacts, calendriers, paramètres système, etc.
  • Comment est-il évalué?
    Je ne parle pas de "nombres nus", mais vérifiez les commentaires. Ils pourraient vous donner des conseils utiles sur la sécurité de l'installation. En outre, une application installée plusieurs milliers de fois sans aucune trace de malveillance dans les commentaires devrait être considérablement plus sûre qu'une application avec presque aucune installation et aucun commentaire.
  • Doit-il s'agir d'une application très populaire, mais qui ne comporte que peu d'installations?
    C'est dans la plupart des cas un indicateur clair de malware, se cachant derrière un nom populaire. Mieux vaut garder vos mains sur ceux-ci.

En plus de cela: si vous n'êtes toujours pas sûr, choisissez un bon forum et demandez. Une autre bonne idée est de vérifier d'autres applications du même développeur (il suffit de suivre le lien sur son nom) et d'utiliser les critères ci-dessus.

Izzy
source
2
Nous avons quelques bons "Est-ce un logiciel malveillant?" questions sur ASE déjà. Je pense que nous pouvons raisonnablement encourager plus de questions comme ça, au lieu de diriger les utilisateurs vers d'autres sites.
Dan Hulme
Merci pour cet indice, @DanHulme - je ne savais pas trop s'il fallait encourager cela. Mettra à jour ma réponse en conséquence (neutralisation;) Mieux? (si c'est le cas, nous pourrions supprimer nos commentaires;)
Izzy
3
Votre troisième point est si excellent que je ne pourrais probablement pas recommander suffisamment cette réponse. Le Play Store regorge de clones non officiels de différents niveaux de difficulté et tous les efforts doivent être faits pour les éviter.
dotVezz
Un autre conseil important: si l'application a beaucoup d'avis 5 étoiles, lisez-les et voyez si ce sont des avis légitimes. Il est trop facile de gérer les avis ces jours-ci, et de nombreuses fausses applications le font pour obtenir un classement élevé sur le Play Store.
Munim
1
@Munim s'applique également aux commentaires les moins bien notés. Hormis les faux ("achetés par la concurrence"), il y en a aussi des stupides (où les utilisateurs ne comprenaient pas à quoi servait l'application ou avaient des problèmes de téléchargement depuis Google Play qui n'ont rien à voir avec l'application). C'était à la fois ce à quoi je faisais référence avec mon deuxième point: vérifiez les commentaires (remarque: vérifiez, ne comptez pas ;)
Izzy
12

Il est possible qu'il y ait des applications malveillantes sur Google Play. Cependant, vous pouvez faire plusieurs choses pour vous protéger:

  1. Vérifiez les autorisations qu'une application demande lors de l'installation. Si cela semble excessif pour ce que fait l'application, vous pouvez envoyer un e-mail au développeur et lui demander pourquoi il a besoin des autorisations demandées. La plupart des développeurs devraient être heureux de le faire, même si cela peut prendre un certain temps avant d'obtenir une réponse.
  2. Regardez le nombre de téléchargements et de critiques. S'il n'a pas beaucoup de téléchargements, soyez plus prudent. Cela ne signifie cependant pas que l'application est malveillante, mais que vous devez vérifier davantage vous-même. S'il y a beaucoup de critiques de 1 à 2 étoiles, je resterais probablement clair aussi.
  3. S'il s'agit d'une application populaire (comme Need For Speed, Riptide GP, etc.) qui est normalement payante, mais que vous trouvez une version gratuite, faites très attention. Une tactique courante des auteurs de logiciels malveillants consiste à se présenter comme des applications populaires, mais en fait, ils installent des logiciels malveillants sur votre appareil.

Essentiellement, vous devez utiliser le bon sens. En cas de doute, n'installez pas l'application. Google a un système appelé Bouncer qui analyse toutes les applications téléchargées sur le Play Store, ce qui a réduit le nombre d'applications malveillantes, mais il n'est pas garanti à 100%.

bmdixon
source
1
J'adore le troisième point, mais je pense que les exemples utilisés sont un peu trompeurs. Il est important de noter que Angry Birds est officiellement gratuit sur le Play Store. Sans oublier que PvZ2 a adopté le modèle free-to-play.
dotVezz
1
Bon point. J'ai remplacé les exemples par des applications qui ne sont normalement pas gratuites.
bmdixon
@bmdixon Vous pouvez également vérifier le nom du fournisseur pour voir s'il est identique au nom du fournisseur de l'application officielle.
sashoalm
6

Quiconque a une expérience de la programmation et du travail sur les applications Android et iOS peut vous dire qu'il existe très certainement des applications malveillantes sur le Play Store. Voici l'affaire:

Pour publier votre application sur l'App Store d'Apple, vous devez la soumettre à Apple pour examen. Oh, et vous devez également leur payer 99 $ par an et sauter à travers d'autres cerceaux. Quoi qu'il en soit, Apple passe en revue le code de votre application ligne par ligne (ou du moins c'est ce qu'ils prétendent) et vérifie qu'il n'y a pas de code malveillant. Comme de nombreux développeurs peuvent vous le dire, il n'est pas difficile de faire rejeter une application et ce n'est pas si rare de devoir la soumettre à nouveau. Le résultat final est que l'App Store d'Apple est à peu près aussi sûr que possible. Pas parfait, mais en ce qui concerne la sécurité, cela ne devient pas beaucoup plus sûr.

Maintenant, si je développe et applique pour Android, je peux simplement le télécharger sur le Play Store. Je vais devoir créer un compte développeur, mais c'est tout ce que j'ai à faire. Si mon application contient des virus ou des logiciels malveillants connus, Google finira par l'attraper et la supprimer de l'App Store.

La chose importante à garder à l'esprit à propos d'Android est qu'il est vraiment plus proche de Windows dans la mesure où vous pouvez facilement jouer et télécharger une application ou des applications qui peuvent voler vos informations personnelles, ralentir votre système en raison d'une mauvaise conception ou de publicités, et tout nombre d'autres choses. Mon meilleur conseil est de faire très attention aux autorisations des applications et, en cas de doute, de ne pas l'installer. De plus, même si vous ne lisez généralement pas les avis sur les appareils iOS, je vous recommande au moins de consulter les avis pour toute application Android moins connue que vous envisagez d'installer. Vous pouvez découvrir assez rapidement si l'application a causé des problèmes à d'autres utilisateurs avec leurs appareils.

Pour cette raison, je ne recommanderais pas de télécharger sans discernement toutes les applications qui semblent intéressantes sur Android. Vous devez vraiment être assez averti pour faire attention et vous protéger. En plus de la programmation, j'ai également travaillé pendant quelques années dans l'industrie mobile et je peux dire que je détestais voir des utilisateurs plus âgés obtenir des androïdes parce qu'ils se retrouveraient avec tant de conneries sur leur téléphone et se demander alors pourquoi cela n'a pas fonctionné comme ils le voulaient. Si c'est vous, alors vous devriez peut-être aller avec Apple. Si cela ne vous dérange pas de faire attention à ce que vous faites, Android vous traitera très bien! J'espère que cela t'aides.

Rouan
source
3
Mais qu'en est-il des autorisations? Je voulais installer une application Sudoku, et la meilleure application sur Google Play nécessite l'accès à ma "Connexion réseau", "Appels téléphoniques" et "Outils système", entre autres. Cette application a 100 000 téléchargements, elle doit donc être légitime, mais si des applications légitimes veulent ces autorisations, comment distinguer les virus?
sashoalm
3
Apple ne vérifie pas le code source, cependant, voir stackoverflow.com/a/3188649/492336 pour plus de détails sur le fonctionnement de leur processus de révision.
sashoalm
4
C'est vrai. La réponse de Roan contient beaucoup d'erreurs: Apple ne peut pas vérifier le code source (comment devraient-ils, vous ne téléchargez que l'application binaire), vous devez également payer des frais pour obtenir également un compte de développeur Android. Le Play Store propose des vérifications automatiques de logiciels malveillants qui peuvent être autant un contrôle de sécurité que le processus d'Apple (les tests humains devront se concentrer sur l'apparence et la convivialité, car vous pouvez facilement créer une application qui se comporte normalement lors de la révision ...).
florian h
5

Il est tout à fait possible qu'une application malveillante devienne disponible via elle. Cependant, la même chose peut être dite pour tout autre système de distribution de logiciels. L'App Store n'est pas non plus à l'abri des développeurs sournois.

Ne présumez jamais qu'un distributeur de logiciels propose un logiciel 100% sûr . Que vous utilisiez Windows, OSX, iOS, Android, Linux, Unix, FreeBSD ou tout autre système d'exploitation, la seule personne qui devrait être responsable de votre sécurité est vous-même .

Lors de l'installation du logiciel, assurez-vous de faire confiance au fournisseur et à l' application elle - même , quel que soit votre niveau de confiance envers le fournisseur . Si vous faites confiance à Rovio, Angry Birds sera tout aussi sûr sur iOS que sur Android ou sur toute autre plate-forme sur laquelle il est disponible.

dotVezz
source
1
Ces conseils sont difficiles à mettre en œuvre. Comment allez-vous évaluer une donnée.apk in vacuo ? Le canal de distribution fait partie de l'évaluation des risques. L'ignorer parce qu'il ne donne pas 100% de confiance est inutilement pédant et peu utile.
Reid
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.