Android M : plus de contrôle et de sécurité pour les applications

Date de dernière mise à jour : le 18 mai 2016 à 12 h 41 min

La première version Developers Preview d’Android baptisée Android M se fait ausculter à tous les niveaux, et si les aspects extérieurs ont été passés en revue de façon assez détaillée, certaines zones moins évidentes restent encore à être présentées. Ici, il est question de la vérification de l’intégrité et la permission des Android Packages (APK).

Sécurité APK

Nécessaire pour débusquer les travaux de personnes mal intentionnées ayant pu corrompre des applications, ce processus d’autorisation effectué par Google avant l’installation ou l’exécution d’une application consiste en une comparaison des signatures SHA-1 de chaque fichier avec celles incluses dans le fichier MANIFEST.MF. Si l’un de ses fichiers affiche une modification, l’APK se verra refuser l’installation voire l’exécution.

Ce qui pose problème, c’est qu’il ne vérifie pas l’absence de certains fichiers. Autrement dit, il passe en revue l’intégralité du contenu de l’APK, détermine si ses signatures correspondent à celles contenues dans le fichier MANIFEST.MF mais ce processus ne prête cependant pas attention à l’absence de fichiers dans l’APK or pourtant présents dans le fichier MANIFEST.MF, ce qui fat qu’une personne malveillante pourrait distribuer une application dépouillée de certains éléments se rapportant aux DRM, à la sécurité, etc…

En résumé, si des fichiers ont été modifiés ou si certains sont absents, alors la validation de l’application sera annulée. Cette annulation entraînera le renouvellement de la procédure de validation via une mise à jour du fichier manifeste et de la signature de l’APK.

Bien qu’étonnant que ce nouveau protocole de sécurité reste absent de la dernière version de Lollipop, il sera bel et bien présent dans Android M (la version Android Developers Preview est pour l’instant seulement disponible sur PC et sur les Nexus 5,6,9 et Player) et laissera Google effectuer une double vérification avant de permettre l’installation et l’ouverture d’une application.

via

Réagissez à cet article !
  • arenzano

    pitiéééé ! Ausculter pas “osculter”…ça pique vraiment les yeux.

  • Goopple

    Google a raison de faire comme Apple sur ce point.
    Un peu plus de sécurité ne fait pas de mal, surtout quand c’est nous le produit !

Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Android 8.0 Oreo : la recherche de mise à jour fonctionne enfin comme prévu

Nous avons tous appuyé frénétiquement sur “rechercher une mise à jour” dans les paramètres d’Android à chaque nouvelle version. Avec Android 8.0 Oreo, ce geste forcera enfin la recherche et l’installation de la nouvelle mise à jour, sans attendre que la vague de déploiement nous atteigne !

Go Keyboard espionne ses 200 millions d’utilisateurs, gare à vous !

Votre clavier vous permet aussi bien de répondre à vos amis… que de rentrer vos numéros de compte en banque. Gare à vous donc : il a été révélé que GO Keyboard, ou GO Clavier sur le Play Store français, espionnait ses 200 millions d’utilisateurs en cachette.

Android Oreo : la mise à jour désactive le réveil de votre smartphone !

Si vous êtes l’heureux possesseur d’un Google Pixel ou d’un Nexus et que vous avez récemment installé la mise à jour vers Android Oreo, vous allez peut-être arrivé en retard à votre boulot ce matin ! Selon plusieurs utilisateurs, l’alarme de leur smartphone rencontre quelques bugs depuis l’arrivée d’Oreo… Et vous ?

Nvidia Shield TV : disponible à un prix inférieur à 200 euros

La Nvidia Shield TV est désormais disponible à moins de 200 euros dans un pack comprenant la box Android TV et sa télécommande. Les consommateurs pourront ainsi se tourner vers cette solution qui fait office d’alternative face à l’arrivée de l’Apple TV 4K.

9cd13825599b742bdbdc799757fc0533<<<<<<<<<<<<<<<<