Android M : plus de contrôle et de sécurité pour les applications

Date de dernière mise à jour : le 18 mai 2016 à 12 h 41 min

La première version Developers Preview d’Android baptisée Android M se fait ausculter à tous les niveaux, et si les aspects extérieurs ont été passés en revue de façon assez détaillée, certaines zones moins évidentes restent encore à être présentées. Ici, il est question de la vérification de l’intégrité et la permission des Android Packages (APK).

Sécurité APK

Nécessaire pour débusquer les travaux de personnes mal intentionnées ayant pu corrompre des applications, ce processus d’autorisation effectué par Google avant l’installation ou l’exécution d’une application consiste en une comparaison des signatures SHA-1 de chaque fichier avec celles incluses dans le fichier MANIFEST.MF. Si l’un de ses fichiers affiche une modification, l’APK se verra refuser l’installation voire l’exécution.

Ce qui pose problème, c’est qu’il ne vérifie pas l’absence de certains fichiers. Autrement dit, il passe en revue l’intégralité du contenu de l’APK, détermine si ses signatures correspondent à celles contenues dans le fichier MANIFEST.MF mais ce processus ne prête cependant pas attention à l’absence de fichiers dans l’APK or pourtant présents dans le fichier MANIFEST.MF, ce qui fat qu’une personne malveillante pourrait distribuer une application dépouillée de certains éléments se rapportant aux DRM, à la sécurité, etc…

En résumé, si des fichiers ont été modifiés ou si certains sont absents, alors la validation de l’application sera annulée. Cette annulation entraînera le renouvellement de la procédure de validation via une mise à jour du fichier manifeste et de la signature de l’APK.

Bien qu’étonnant que ce nouveau protocole de sécurité reste absent de la dernière version de Lollipop, il sera bel et bien présent dans Android M (la version Android Developers Preview est pour l’instant seulement disponible sur PC et sur les Nexus 5,6,9 et Player) et laissera Google effectuer une double vérification avant de permettre l’installation et l’ouverture d’une application.

via

Réagissez à cet article !
  • arenzano

    pitiéééé ! Ausculter pas “osculter”…ça pique vraiment les yeux.

  • Goopple

    Google a raison de faire comme Apple sur ce point.
    Un peu plus de sécurité ne fait pas de mal, surtout quand c’est nous le produit !

Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Google Home est déjà capable de parler français mais avec un accent québécois

Comme prévu, le Google Home débarquera donc dans l’hexagone le 3 aout prochain. En attendant, vous pouvez déjà profiter d’un Google Home capable de parler en Français mais avec un petit accent québécois. Et oui, la version québécoise de l’enceinte connectée est déjà sortie ! Alors, qu’est ce que ça donne présentement ?

Essential Phone : Andy Rubin sort enfin du silence après des bugs en cascade

L’Essential Phone sera commercialisé « dans quelques semaines » selon les dires d’Andy Rubin. Le père fondateur d’Android est sorti de son silence et a fait état de la nouvelle par le biais d’un courrier adressé à ceux qui l’ont soutenu, lui et ses équipes, tout au long de cette aventure dédiée au tout premier flagship de la marque.

Apple : des fans révèlent ce qu’ils pensent vraiment de la marque

On croit souvent à tort que tous les fans de la marque californienne sont forcément mordus de tous les produits de la marque. Et bien c’est faux ! Sur le forum Reddit, certains d’entres eux ont décidé de balancer leurs 4 vérités à Tim Cook concernant les choses qu’ils aiment le moins chez Apple.

2798a5474ec6eb18a0f72a5777f881ad/////