Android M : plus de contrôle et de sécurité pour les applications

Date de dernière mise à jour : le 18 mai 2016 à 12 h 41 min

La première version Developers Preview d’Android baptisée Android M se fait ausculter à tous les niveaux, et si les aspects extérieurs ont été passés en revue de façon assez détaillée, certaines zones moins évidentes restent encore à être présentées. Ici, il est question de la vérification de l’intégrité et la permission des Android Packages (APK).

Nécessaire pour débusquer les travaux de personnes mal intentionnées ayant pu corrompre des applications, ce processus d’autorisation effectué par Google avant l’installation ou l’exécution d’une application consiste en une comparaison des signatures SHA-1 de chaque fichier avec celles incluses dans le fichier MANIFEST.MF. Si l’un de ses fichiers affiche une modification, l’APK se verra refuser l’installation voire l’exécution.

Ce qui pose problème, c’est qu’il ne vérifie pas l’absence de certains fichiers. Autrement dit, il passe en revue l’intégralité du contenu de l’APK, détermine si ses signatures correspondent à celles contenues dans le fichier MANIFEST.MF mais ce processus ne prête cependant pas attention à l’absence de fichiers dans l’APK or pourtant présents dans le fichier MANIFEST.MF, ce qui fat qu’une personne malveillante pourrait distribuer une application dépouillée de certains éléments se rapportant aux DRM, à la sécurité, etc…

En résumé, si des fichiers ont été modifiés ou si certains sont absents, alors la validation de l’application sera annulée. Cette annulation entraînera le renouvellement de la procédure de validation via une mise à jour du fichier manifeste et de la signature de l’APK.

Bien qu’étonnant que ce nouveau protocole de sécurité reste absent de la dernière version de Lollipop, il sera bel et bien présent dans Android M (la version Android Developers Preview est pour l’instant seulement disponible sur PC et sur les Nexus 5,6,9 et Player) et laissera Google effectuer une double vérification avant de permettre l’installation et l’ouverture d’une application.

via

   Suivez nous sur Facebook   


Vous aimerez peut être


Réagir à cet article

  • arenzano

    pitiéééé ! Ausculter pas « osculter »…ça pique vraiment les yeux.

  • Goopple

    Google a raison de faire comme Apple sur ce point.
    Un peu plus de sécurité ne fait pas de mal, surtout quand c’est nous le produit !