Sécurité Android - Questions et réponses avec Adrian Ludwig de Google

Nous avons beaucoup parlé de la sécurité sur votre appareil Android récemment, et au fur et à mesure que la conversation se poursuivait, il était clair qu'il y avait des questions auxquelles une personne d'une plus grande autorité devait répondre. Des choses comme si vous avez besoin logiciel antivirus pour votre téléphone, identifier les logiciels malveillantset être sûr que vos appareils sont généralement sans danger grâce à une utilisation quotidienne sont des sujets devenus inutilement confus. Bien que nous puissions attribuer une partie de la responsabilité à cela sur le barrage apparemment sans fin d'articles nous parlant de tous les logiciels disponibles étant fait pour exploiter les utilisateurs d'Android, il y a aussi des questions légitimes sur la sécurité Android qui n'ont pas réponses.

Pour aider à résoudre ce problème, nous sommes allés directement à la source. Adrian Ludwig, ingénieur principal pour la sécurité Android chez Google, a pris un certain temps par e-mail pour donner les réponses que nous recherchions.

Lire la suite: Sécurité Android - Questions et réponses avec Adrian Ludwig de Google

Q: De quoi, exactement, Google essaie-t-il de protéger ses utilisateurs Android?

Ludwig: Nous avons conçu Android en utilisant plusieurs couches de sécurité - En commençant par les fonctionnalités matérielles de l'appareil (Trustzone, NX), via le système d'exploitation (Application Sandbox, SELinux, ASLR) et jusqu'aux applications et services fournis par Google (Google Play, Device Manager, Verify Apps, etc.). Nous encourageons également l'innovation en matière de sécurité en permettant à des tiers de fournir des solutions de sécurité.

Les menaces de sécurité les plus urgentes auxquelles sont confrontés les appareils mobiles de nos jours sont les suivantes: 1. Appareils perdus et volés (pour lesquels nous fournissons des protections telles que l'écran de verrouillage, le cryptage de l'appareil et le gestionnaire d'appareils Android) 2. Attaques au niveau du réseau (pour lesquelles Android fournit des services cryptographiques et expose une surface d'attaque minimale en n'ayant pas de services d'écoute par défaut) 3. Applications potentiellement dangereuses (pour lesquelles le sandbox des applications Android, l'examen des applications Google Play et les applications de vérification sont tous conçus)

Lorsque nous entendons parler d'une nouvelle menace potentielle, nous commençons à l'intégrer dans nos plans et notre conception futurs.

Q: Pendant combien de temps Google propose-t-il une assistance pour des éléments tels que les failles de sécurité découvertes dans le système d'exploitation?

Ludwig: Notre approche d'une politique de support pour la sécurité Android consiste à fournir des mises à jour partout où nous pensons qu'elles seront réellement fournies aux utilisateurs et à améliorer la sécurité. En pratique, cela signifie que nous fournissons plusieurs types de support pour les problèmes de sécurité potentiels:

1. Si un problème peut être résolu en mettant à jour Chrome, Gmail, Google Play ou un certain nombre d'applications Google - nous résoudrons le problème d'une manière qui remonte à toutes les versions d'Android sur lesquelles chaque application est disponible.
2. Google Lien appareils et Édition Google Play les appareils reçoivent régulièrement des mises à jour de sécurité en temps opportun.
3. Nous fournissons des correctifs pour la branche actuelle d'Android dans le Projet Open Source Android (AOSP) et fournir directement aux partenaires Android des correctifs pour au moins les deux dernières versions majeures du système d'exploitation. Actuellement, nous fournissons des backports pour les problèmes de sécurité qui couvrent Android 4.3 et supérieur. WebKit sur Android 4.3 est la seule exception. Il est pris en charge sur Android 4.4 et supérieur en tant que mise à jour binaire. Néanmoins, lorsqu'un OEM demande de l'aide pour développer un correctif pour un appareil qui exécute une version plus ancienne de la plate-forme et qu'ils s'engagent à fournir ce correctif en tant qu'OTA aux appareils, nous leur fournirons une assistance.
4. Dans la mesure du possible, nous mettons également à jour Services de sécurité de Google pour Android pour fournir une couche de protection supplémentaire à tous les appareils Android, qu'ils soient toujours pris en charge par les OEM. Cela comprend la vérification des applications potentiellement dangereuses et d'autres mesures de sécurité comportement.
5. Nous fournissons également aux développeurs d'applications des informations et des outils pour garantir que leurs applications sont protégées contre les problèmes de sécurité potentiels. Cela inclut la fourniture d'API dans les services Google Play, tels que fournisseur de sécurité pouvant être mis à jour qui peut être mis à jour par Google sans appareil OTA. Nous fournissons également les meilleures pratiques qui peuvent aider les développeurs à s'assurer que leurs applications fonctionnent en toute sécurité sur tous les appareils Android, qu'elles soient toujours prises en charge par les OEM. Récemment, nous avons commencé à analyser les applications de Google Play à la recherche de failles de sécurité potentielles et à informer les développeurs lorsque ces vulnérabilités sont détectée.
6. Enfin, nous partageons des informations sur les problèmes de sécurité (y compris les informations dont nous disposons sur les correctifs et toute exploitation connue) avec les partenaires Android pour s'assurer qu'ils comprennent le problème, y compris les risques associés aux appareils ne recevant pas de mise à jour pour le problème. Cela inclut l'ajout de tests pour les problèmes de sécurité potentiels dans le Suite de tests de compatibilité pour réduire le risque qu'un OEM expédie par inadvertance un appareil présentant un problème de sécurité connu.

Q: Dans le cas où une application a été jugée malveillante mais pas nécessairement dangereuse - par exemple une application qui envoie un spam dans la barre de notification avec des publicités indésirables - quels outils sont disponibles pour aider les utilisateurs?

Ludwig: Android fournit aux utilisateurs des commandes qui leur permettent de contrôler l'expérience sur leur appareil. Cela inclut des fonctionnalités telles que l'affichage des autorisations d'application, la configuration de paramètres tels que la capacité d'une application à afficher des notifications ou la possibilité de désactiver ou de supprimer des applications à à tout moment.

Si une notification n'est pas souhaitée, l'utilisateur peut appuyer longuement sur la notification pour voir quelle application l'a produite, puis modifier les paramètres de notification de l'application ou désinstaller l'application.

Q: Que se passe-t-il lorsque Google envoie un message avertissant les utilisateurs d'une application malveillante et que l'utilisateur ne supprime pas l'application, soit parce qu'il a choisi de ne pas le faire, soit parce que le message a été ignoré par inadvertance?

Ludwig: Il existe plusieurs contrôles de sécurité redondants conçus pour s'assurer qu'une application connue pour être potentiellement dangereuse ne sera pas installée accidentellement. À chacune de ces vérifications, la majorité des utilisateurs qui reçoivent un avertissement concernant une application potentiellement dangereuse choisissent de ne pas continuer.

Voici toutes les étapes majeures:

Google a intégré son système d'avertissement pour les applications potentiellement dangereuses connues dans le backend de plusieurs de nos applications. Ainsi, par exemple, le navigateur Chrome avec navigation sécurisée peut avertir l'utilisateur avant même de télécharger une application à partir d'un site Web qu'il semble se trouver sur un site Web hébergeant des applications potentiellement dangereuses.

S'ils choisissent de télécharger et d'installer quand même, ils recevront un avertissement au moment de l'installation (ainsi que d'autres informations telles que les autorisations d'application qui peuvent les aider à décider s'ils le souhaitent installer).

S'ils décident toujours de continuer, l'application est installée, mais elle ne peut toujours rien faire tant que l'utilisateur ne décide pas d'exécuter l'application. Ils ont donc une autre chance de choisir de supprimer l'application avant qu'elle ne puisse causer des dommages.

Qu'ils choisissent d'exécuter l'application ou non, si elle est installée sur leur appareil, alors la vérification des applications l'analyse en arrière-plan signalera l'application et fournira un autre avertissement recommandant de supprimer le app. Cet avertissement se produit généralement environ une fois par semaine - bien que l'utilisateur ait la possibilité de dire «ne plus me le rappeler».

Q: Les applications de sécurité tierces me protègent-elles encore plus des applications Play Store potentiellement dangereuses?

Ludwig: Les protections intégrées à Google Play sont très robustes. Pour les utilisateurs installant des applications en dehors de Google Play, nous leur recommandons vivement d'activer Vérifier les applications, qui est fourni sur Appareils Android exécutant Android 2.3 ou version ultérieure (soit plus de 99% des appareils Android) dotés de Google Play installée.

En 2014, selon les données Verify Apps collectées par Google et ignorant les applications d'enracinement installées intentionnellement par les utilisateurs, moins de 0,15% des applications installées en dehors de Google Play sur des appareils anglais américains ont été classées comme potentiellement nuisibles Applications. Compte tenu de la protection intégrée fournie par Verify Apps et de la faible fréquence d'installation des PHA, l'avantage potentiel de sécurité d'une solution de sécurité supplémentaire est très faible.

Q: L'une des fonctionnalités de sécurité de Google s'applique-t-elle aux utilisateurs qui ont installé des versions tierces d'Android (lire: ROM créées par la communauté)?

Ludwig: Oui, les ROM tierces sont généralement construites sur AOSP, elles prennent donc en charge le bac à sable Android, et beaucoup d'entre elles utilisent les applications de Google, y compris nos services de sécurité.

Et voila. Google fait un travail incroyable pour assurer la sécurité d'Android, et une grande partie de ce travail est en préparation pour ce qui se passera ensuite. Mais ce sera toujours un peu un jeu du chat et de la souris. Comme cela a toujours été le cas, assurer la sécurité de votre appareil consiste à savoir où vous appuyez, ce que vous installez et à être aussi informé que possible.

N'oubliez pas de consulter le reste de notre série sur la sécurité si vous souhaitez en savoir plus.

Avez-vous écouté le podcast Android Central de cette semaine?

Chaque semaine, le podcast Android Central vous apporte les dernières nouvelles technologiques, analyses et prises de vues, avec des co-hôtes familiers et des invités spéciaux.

• Abonnez-vous à Pocket Casts: l'audio
• Abonnez-vous à Spotify: l'audio
• Abonnez-vous à iTunes: l'audio