Google renforce la sécurité d’Android avec un nouvel ensemble de modifications de la politique de développement

android

Google a annoncé plusieurs changements de politique clés pour les développeurs d’applications Android qui augmenteront la sécurité des utilisateurs, de Google Play et des applications proposées par le service.

Ces nouvelles exigences pour les développeurs entreront en vigueur du 11 mai au 1er novembre 2022, laissant aux développeurs suffisamment de temps pour s’adapter aux nouvelles modifications.

Parmi la liste des changements de politique qui seront introduits, les plus importants liés à la cybersécurité et à la fraude incluent :

  • Nouvelles exigences cibles au niveau de l’API.
  • Interdiction des applications de prêt dont le taux annuel effectif global (APR) est de 36 % ou plus.
  • Interdire l’utilisation abusive de l’API d’accessibilité.
  • Nouvelles modifications de politique pour l’autorisation d’installer des packages à partir de sources externes.

Nouvelles cibles au niveau de l’API

À compter du 1er novembre 2022, toutes les applications nouvellement publiées/publiées doivent cibler un niveau d’API Android publié dans l’année suivant la dernière version majeure d’Android.

Ciblage au niveau de l'API pour les applications nouvellement publiées
Exigence de ciblage au niveau de l’API pour les applications nouvellement publiées (Google)

Ceux qui ne respectent pas cette exigence seront rejetés de l’inclusion dans le Play Store, la boutique d’applications officielle d’Android.

Les applications existantes qui ne ciblent pas un niveau d’API dans les deux ans suivant la dernière version majeure d’Android seront supprimées du Play Store et ne seront plus détectables.

Exigences de ciblage au niveau de l'API pour les applications existantes
Exigences de ciblage au niveau de l’API pour les applications existantes (Google)

Ce changement vise à forcer les développeurs d’applications à adopter les politiques d’API plus strictes qui sous-tendent les nouvelles versions d’Android, généralement une meilleure gestion et révocation des autorisations, un anti-piratage des notifications, des améliorations de la confidentialité des données, la détection du phishing, des restrictions d’écran de démarrage, etc.

Comme l’explique Google dans le article de blog à propos de la nouvelle politique : « les utilisateurs disposant des derniers appareils ou ceux qui sont complètement pris au courant des mises à jour d’Android s’attendent à réaliser le plein potentiel de toutes les protections de confidentialité et de sécurité qu’Android a à offrir. »

Les développeurs d’applications qui ont besoin de plus de temps pour migrer vers des niveaux d’API plus récents peuvent demander une prolongation de six mois, bien que cela ne soit pas garanti pour tout le monde.

Ce changement de politique devrait forcer de nombreuses applications obsolètes à adopter des pratiques plus sécurisées, mais poussera également inévitablement plusieurs projets qui ne sont plus activement développés en dehors du Play Store.

Un effet secondaire de ce dernier pourrait être que les gens se tournent vers des sources obscures pour obtenir un APK de leur application préférée, pour se faire arnaquer et s’infecter avec des logiciels malveillants.

Utilisation abusive de l’API d’accessibilité

L’API d’accessibilité d’Android permet aux développeurs de créer des applications qui peuvent être utilisées par les personnes handicapées, permettant la création de différentes façons de contrôler l’appareil et d’utiliser ses applications.

Cependant, cette fonctionnalité est souvent abusée par les logiciels malveillants [1, 2] pour effectuer des actions sur un appareil Android sans la permission ou même la connaissance de l’utilisateur.

Les nouvelles politiques de Google restreignent davantage la façon dont cette politique peut être utilisée, comme indiqué ci-dessous.

  • modifier les paramètres de l’utilisateur sans son autorisation ou empêcher les utilisateurs de désactiver ou de désinstaller une application ou un service, sauf autorisation d’un parent ou d’un tuteur via une application de contrôle parental ou d’administrateurs autorisés via un logiciel de gestion d’entreprise ;
  • Contournez les contrôles de confidentialité et les notifications intégrés à Android ; ou
  • Modifier ou exploiter l’interface utilisateur d’une manière trompeuse ou contraire aux règles de Google Play pour les développeurs.

Politique de récupération des packages

Un autre changement de politique clé annoncé par Google renforce l’autorisation « REQUEST_INSTALL_PACKAGES ».

De nombreux éditeurs d’applications malveillantes soumettent un code inoffensif sur le Play Store pour faire approuver leur soumission, mais masquent la fonctionnalité de récupération de packages qui télécharge les modules malveillants après l’installation.

Les utilisateurs voient ces actions comme « demande de mise à jour » ou « téléchargement de contenu supplémentaire », ils approuvent donc l’action lorsqu’ils reçoivent l’invite associée ou ne voient rien car cela se produit en arrière-plan.

Google veut combler cette échappatoire en appliquant nouvelles politiques pour l’autorisationmettant en lumière un espace jusqu’alors mal régulé.

Les fonctions autorisées seront désormais limitées au navigateur Web, à la recherche, à la communication, au partage de fichiers, au transfert de fichiers, à la gestion de fichiers et à la gestion des appareils d’entreprise.

Les applications utilisant cette autorisation doivent désormais récupérer uniquement les packages signés numériquement, tandis que le consentement de l’utilisateur n’autorisera toujours pas les mises à jour automatiques, les modifications de code ou le regroupement d’APK dans le fichier de ressources.

Les nouvelles règles REQUEST_INSTALL_PACKAGES entreront en vigueur le 11 juillet 2022 pour toutes les applications utilisant l’API de niveau 25 (Android 7.1) et supérieur.