Google détaille une partie de sa lutte contre les malwares sur Android

Dead or Alive 17
En bref
image dediée
Crédits : juniorbeep/iStock
Sécurité
Vincent Hermann

La sécurité sur Android a souvent été remise en cause à la faveur de vagues d’attaques provoquées par des malwares. Google a décidé de communiquer pour indiquer – en partie seulement – les actions entreprises contre ces fléaux. Des protections pas toujours suffisantes.

Le problème des malwares sur Android est régulier, mais ne tient pas nécessairement à un manque de sécurité du Play Store. Il y a plusieurs moyens de parvenir à installer un logiciel malveillant sur un smartphone et la boutique officielle est sans doute le plus difficile. Souvent, les contaminations par malwares se font via des applications infectées ou spécifiquement créées, disponibles depuis des boutiques tierces. Une possibilité qu’il suffit de déverrouiller dans les options d’Android.

La vérification active du comportement applicatif

Google souhaite donc communiquer sur une partie des efforts mis en place pour lutter contre les malwares. En partie seulement car, comme l’éditeur l’avait indiqué il y a quelques semaines au sujet des faux avis, trop en révéler pourrait renseigner les pirates sur d’éventuelles méthodes pour contourner les protections. L’éditeur se concentre avant tout sur le Play Store, qui devrait être selon lui le seul moyen d’installer une application.

La première protection est la plus connue : un scanner des applications quand elles sont proposées par les développeurs sur le Store, pour y détecter toute menace éventuelle. Une mesure efficace dans la plupart des cas, bien qu’il puisse y avoir des ratés. De fait, une menace peut potentiellement passer ce premier filtre et se retrouver sur un appareil Android.

Survient alors « Verify Apps ». Il s’agit d’une autre protection qui vérifie le comportement des applications. Elle est liée aux serveurs de Google, dispose en permanence d’une base à jour de facteurs à surveiller. Si une PHA (Potentially Harmful App, application potentiellement dangereuse) est repérée, l’utilisateur est averti et une fenêtre lui proposer de la désinstaller.

Le taux de rétention comme base de calcul

Puisqu’il s’agit d’un service actif, il a besoin normalement que les appareils restent connectés pour envoyer de temps en temps des informations statistiques sur le fonctionnement, autrement dit des données télémétriques. Mais si la connexion se coupe, Verify Apps peut se baser sur d’autres informations pour calculer un risque.

Quand un appareil Android ne vient plus consulter Verify Apps, il est ainsi considéré par les serveurs comme « Dead or Insecure » ou DOI. Google met cependant en corrélation plusieurs types d’informations, notamment le nombre d’installations tentées et réussies, et surtout le nombre d’appareils DOI. Si les serveurs remarquent une nette augmentation des DOI après l’arrivée d’une application en particulier, c’est peut-être qu’il y a anguille sous roche.

C’est ce que Google nomme taux de rétention. Un appareil est considéré comme « retenu » tant qu’il contacte les serveurs pour exécuter Verify Apps pour le premier lancement d’une application. L’éditeur précise que la rétention est un facteur clé dans l’écosystème Android et qu’il est donc important de la maximiser.

google android malware doi verify

25 000 applications bloquées par ce mécanisme

Google ajoute bien sûr qu’il s’agit de la théorie centrale mais que d’autres informations entrent en piste, même si elles ne sont pas nommées. L’idée toutefois est toujours la même : propulser en tête de liste les menaces qui semblent les plus sérieuses. Un processus qui a permis de traquer 25 000 applications contenant un malware des familles Hummingbad, Ghost Push et Gooligan, trois des plus actives sur Android.

Ce qu’il faut retenir surtout des explications de Google, même si la firme ne l’indique pas de cette manière, c'est que ces mécanismes ne vont pas forcément permettre de stopper une infection en cours sur un appareil jusqu’au point de non-retour. Le système semble beaucoup plus adapté pour une contre-attaque par accumulation des « preuves ». En d’autres termes, Verify Apps ne peut pas toujours empêcher la primo-infection sur le parc Android, mais peut agir par la suite pour juguler la menace.

Dans la plupart des cas cependant, la sécurité sur Android est remise en cause par des applications provenant de sources tierces. Davantage que sur le Play Store, il est alors nécessaire de faire particulièrement attention à ce que l’on installe, surtout si l’appareil a été rooté.


chargement
Chargement des commentaires...