Les applications sur l' Android Market sont-elles vérifiées ou auditées?
Si je recherche sur Google pour "durcir Android", le meilleur hit que je peux trouver est la liste de contrôle de durcissement de Google Android .
Quelle est votre opinion à ce sujet? Existe-t-il un moyen de rendre Android plus sûr ou plus sécurisé?
Réponses:
Google a ajouté une nouvelle couche de sécurité au marché Android en février 2012.
Ajout d'une nouvelle couche à la sécurité d'Android
Aujourd'hui, nous dévoilons un service que nous avons développé, nommé Bouncer, qui fournit une analyse automatisée d'Android Market pour les logiciels potentiellement malveillants sans perturber l'expérience utilisateur d'Android Market ou exiger des développeurs qu'ils passent par l'approbation d'une application processus.
Pour plus d'informations, cliquez ici: http://googlemobile.blogspot.com/2012/02/android-and-security.html
Android 4.2 a ajouté une sécurité supplémentaire avec un paramètre qui permet au scanner de sécurité de Google d'analyser (en option) toutes vos applications non Market (c'est-à-dire à chargement latéral) pour les logiciels malveillants.
Cette fonctionnalité est une extension de la technologie de sécurité que Google a introduite pour le Play Store en février dernier. Alors que cette technologie fonctionnait exclusivement côté serveur, analysant les applications qui ont été téléchargées sur le Play Store, le nouveau système fonctionne avec votre appareil et analyse toutes les applications que vous installez à partir de sources tierces (un processus appelé "chargement latéral").
(ComputerWorld: à l' intérieur du nouveau système de sécurité puissant d'Android 4.2 )
Il suffit d'un frais unique de 25 $ pour qu'un développeur commence à mettre des applications sur le marché. Pas de cerceaux pour sauter. 25 $ et vous pouvez publier autant d'applications que vous le souhaitez, instantanément. Pas d'attente, pas de files d'attente, pas de processus d'approbation, nada.
Cependant, il y a eu quelques cas d'applications malveillantes. Lorsque ces problèmes surviennent, Google les retire généralement du marché (et des téléphones des utilisateurs). Cela n'arrive pas très souvent.
Android a été conçu pour vous protéger: toutes les applications doivent demander des "autorisations" pour faire certaines choses: passer des appels, lire les données de contact, accéder à Internet, etc. Lisez les autorisations avant d'installer une application. Assurez-vous de savoir et de comprendre ce que cela va faire. Semble-t-il avoir une «autorisation» douteuse à laquelle il demande l'accès? Cependant, en même temps: ne réprimandez pas le développeur à cause de certaines autorisations. Certaines annonces diffusées dans des applications nécessitent au moins l'autorisation Internet et parfois d'autres (concernant l'état du téléphone, je crois). Assurez-vous de bien comprendre pourquoi un développeur aurait besoin de certaines autorisations. Plus important encore, lisez ce que les autres disent de l'application sur le marché. Lisez certains des commentaires (bien que sachez que les commentaires sur le marché Android sont du même niveau que Youtube en termes de qualité) et voyez quelle est la note de l'application. Avez-vous déjà entendu parler de l'application? Un blog l'a-t-il mentionné ou revu?
Pire scénario : si vous n'êtes pas enraciné, aucune application ne devrait endommager votre téléphone car chaque application est mise en sandbox les unes des autres (techniquement, l'ensemble d'applications de chaque développeur est mis en sandbox les unes des autres. Applications signées par le même développeur clé peut avoir accès à d'autres applications signées par le même développeur). Ils pourraient potentiellement voler vos données, selon le nombre d'autorisations accordées à l'application. Le scénario le plus rare auquel je peux penser est si une application utilise un exploit pour activer l'accès root sur votre téléphone et fait ensuite quelque chose de malveillant (par exemple, tout supprimer).
Je ne pense pas que quiconque de Google vérifie explicitement les applications Market. Ils vérifient probablement maintenant certains logiciels malveillants connus (modifier: oui, voir la réponse de Leandros) et ce genre de chose, mais les applications Android n'ont pas de processus d'approbation comme les applications iOS. Voir http://en.wikipedia.org/wiki/Android_Market#Application_security
La meilleure façon de sécuriser votre appareil est de vous assurer que les autres n'y ont jamais accès et de ne télécharger que les applications auxquelles vous faites confiance. Android utilise un noyau de style Linux et dispose d'un modèle de sécurité étroitement sandboxé, donc en tant que système d'exploitation, il est très sûr en soi. Vous devez surtout vous protéger contre les erreurs de l'utilisateur :)
Aucune plate-forme n'est 100% à l'épreuve des utilisateurs, alors faites preuve de prudence et de bon sens de la même manière que vous le faites sur votre bureau - vous n'installeriez probablement pas sur votre ordinateur un programme aléatoire dont vous avez entendu parler sur un site Web sans quelques recherches préalables , même avec un programme antivirus / les dernières mises à jour installées.
Mêmes règles ici - faites-vous plaisir et trouvez plus d'informations sur le programme qui vous intéresse et ses développeurs. Les commentaires sur le marché sont généralement un bon point de départ, mais parcourir les autres sites liés à Android ne fera pas de mal non plus,
En supposant que vous soyez aux États-Unis, le nouvel Amazon Appstore d'Amazon, qui vient d'être lancé, vérifie et audite les applications avant qu'elles ne soient mises en ligne, donc devrait être un endroit plus sûr pour obtenir vos applications.
De leur FAQ développeur :
Notre objectif est que les clients d'Amazon Appstore aient une bonne expérience avec chaque application qu'ils achètent sur l'Appstore. Par conséquent, nous testerons les applications que vous soumettez avant de les rendre disponibles dans notre magasin pour vérifier que chaque application fonctionne comme indiqué dans la description de votre produit, n'entrave pas la fonctionnalité de l'appareil mobile et ne met pas les données client en danger une fois installées et se conforme aux termes de l'accord de distribution et à nos lignes directrices sur le contenu.
Cependant, comme ils viennent juste d'être lancés cette semaine, ils n'ont aucun dossier à long terme que nous pouvons examiner pour voir à quel point leur filtrage est efficace et ce qu'ils font si une application passe à travers leur processus d'une manière ou d'une autre.
Si vous craignez que des personnes mettent la main sur votre appareil et l'utilisent, vous pouvez ajouter un mot de passe, un code ou un geste de balayage pour empêcher les gens de pénétrer. Si vous êtes préoccupé par les données dans les applications individuelles une fois le téléphone déverrouillé, Protector bloque l'accès à la liste des applications que vous spécifiez, entrez un code PIN pour le déverrouiller.
Il existe des produits antivirus comme AVG et Lookout, mais je ne pense pas qu'ils détectent les logiciels espions. Google Market lui-même est très risqué, car n'importe qui dans votre compte peut ajouter à distance n'importe quelle application, et quelques failles de sécurité ont été trouvées et corrigées. La meilleure chose à faire est de vérifier les autorisations d'une application lors de l'installation et d'utiliser un antivirus et un pare-feu tels que droidwall pour la confidentialité.