Google met à jour les vérifications de signature de fichier pour les applications Android

[IceCream]

Google modifie la façon dont l'application Play Store vérifie l'authenticité des applications Android avant l'installation. La société prévoit de modifier l'en-tête des fichiers APK (application Android) pour inclure un nouveau champ de métadonnées contenant la signature du fichier de l'application.

 

Les applications n'incluaient pas ce champ car elles n'en avaient pas besoin, car les applications approuvées par Google ne pouvaient être installées que via l'application Play Store officielle, qui traitait toutes ces vérifications en arrière-plan avant l'installation de l'application.

 

James Bender a expliqué que :

 

« L'une des raisons pour lesquelles nous faisons cela est d’aider les développeurs à atteindre un public plus large, en particulier dans les pays où le partage d'applications peer-to-peer est commun en raison de plans de données coûteux et d'une connectivité limitée.

 

« À l'avenir, pour les applications obtenues via les canaux de distribution approuvés par Play, nous pourrons déterminer l'authenticité de l'application lorsqu'un appareil est hors connexion, ajouter ces applications partagées à la bibliothèque de jeux d'un utilisateur et gérer les mises à jour. Cela donnera plus de confiance aux utilisateurs lors de l'utilisation d'applications de partage peer-to-peer approuvées par Play.

 

« Cela vous profite également en tant que développeur car vous trouverez ainsi un canal de distribution hors ligne approuvé Play et, puisque l'application partagée peer-to-peer est ajoutée à la bibliothèque Play de votre utilisateur, votre application sera désormais éligible pour les mises à jour d'application de Play ».

 

En clair, certaines applications installées en passant par un fichier APK (et donc en ne passant pas par Google Play) vont être intégrées à la bibliothèque Play Store de l’utilisateur. Cependant, seules les applications présentes dans le Store pourront être ainsi incluses, comme si elles avaient été téléchargées normalement.

 

Lorsque l'utilisateur tentera de charger une application qu'il a obtenue via un réseau de partage d'applications peer-to-peer, l'application Play Store vérifiera le champ de métadonnées supplémentaire et pourra déterminer si l'application provient du site officiel. Google Play Store, permettant l'installation et la synchronisation avec l'inventaire officiel des applications du téléphone.

 

Lorsque l'utilisateur revient en ligne, l'application est automatiquement mise en file d'attente pour recevoir des mises à jour depuis le Play Store, ce qui n'était pas possible auparavant pour les applications téléchargées lorsque l'utilisateur était hors connexion.

 

Cette certification permet donc d’être averti des mises à jour de l’application et de les installer directement via le Play Store. De plus, une application intégrée au Store de Google profite de vérifications de sécurité régulières.

 

 

Quel est donc l’intérêt, en sachant que l’utilisateur peut directement passer par le Play Store ? Google aurait constaté que, dans les pays où la connexion internet est très chère, des utilisateurs s’échangent des fichiers APK entre eux pour installer les applications à moindre coût. De plus, Bender affirme que ce nouveau champ de signature d'application bénéficiera aux développeurs car ils disposent d'un canal plus large pour la distribution d'applications et ne seront pas limités au Play Store uniquement.

 

« Aucune action n'est requise par les développeurs ou par ceux qui utilisent votre application ou votre jeu. Nous ajustons la taille maximale des fichiers APK de Google Play pour prendre en compte la petite addition de métadonnées, qui est insérée dans le bloc de signature APK. En plus d'améliorer l'intégrité de l'écosystème des applications mobiles de Google Play, ces métadonnées présenteront également de nouvelles opportunités de distribution pour les développeurs et aideront plus de personnes à maintenir leurs applications à jour ».

 

Toutefois, certains chercheurs affirment que ce changement pourrait permettre aux applications malveillantes, qui ont été téléchargées pendant une courte période sur le Play Store officiel, d'apparaître comme authentiques lorsqu'elles sont distribuées via des canaux de distribution hors ligne, leur signature apparaissant comme authentique après avoir été retirée du Play Store. 

 

Source : blog Google