Chaque fois qu'Android reçoit une mise à jour, il y a des changements que nous ne pouvons pas voir. Il se passe beaucoup de choses derrière l'écran d'accueil et il faut une armée de développeurs pour faire fonctionner un logiciel aussi complexe qu'Android. Avec Android Oréo, certains changements majeurs sont en arrière-plan qui renforcent la sécurité et la confidentialité des utilisateurs.
En tant qu'utilisateurs, nous sommes principalement concernés par ce que nous pouvons voir ou faire nous-mêmes; des choses comme être conscient d'installer des applications aléatoires ou de ne pas ouvrir les pièces jointes des e-mails de personnes que nous ne connaissons pas. Mais le gros du travail se poursuit dans les coulisses et le travail pour empêcher tout contenu malveillant que nous pourrions rencontrer de prendre pied est une priorité. Oreo a une longue liste de changements et de fonctionnalités sur ce front.
- Android Oreo ne prend plus en charge SSLv3 (Secure Sockets Layer version 3.0). SSLv3 est obsolète et s'est avéré non sécurisé, et au recommandation de l'IETF (Groupe de travail sur l'ingénierie Internet; un groupe qui établit une sorte de norme pour la communication Internet), il a été complètement démantelé au profit d'une nouvelle méthode de sécurité des communications, TLS (Transport Layer Security) 1.2.
De plus, lorsque vous essayez de vous connecter à un serveur qui n'utilise pas correctement TLS 1.2, Android Oreo n'essaiera plus de revenir à une version précédente comme solution de contournement. Votre téléphone exécutant Oreo ne se connectera tout simplement pas à des serveurs Web non sécurisés, et c'est génial.
- Android 8.0 applique un Filtre informatique sécurisé à toutes les candidatures. La liste des façons dont une application peut communiquer directement avec le noyau a été réduite. Celles-ci ont traditionnellement été une méthode populaire pour tenter un exploit du noyau afin d'obtenir des privilèges de niveau administrateur. Il est plus difficile que jamais pour tout type de logiciel malveillant de devenir root.
- Les objets WebView s'exécutent désormais en mode multiprocessus. Toutes les applications qui obtiennent du contenu sur le Web affichent désormais ce contenu dans son propre bac à sable isolé, où elles n'ont accès à aucune donnée d'application. Un site Web qui essaie de voler vos informations ne trouvera aucune information à voler !
- Les applications en cours d'exécution ne peuvent plus assumer autre les applications se trouvent dans un emplacement générique et devront demander au système lui-même de transmettre les données à leur répertoire source réel. Ne pas savoir où trouver une application signifie qu'il est beaucoup plus difficile d'exploiter les vulnérabilités qu'elle contient.
- Android Oreo gère désormais différemment vos données d'identification uniques. Avant Android 8.0, un identifiant Android unique était généré lors de la première configuration d'un appareil. Cet identifiant était constant et les développeurs pouvaient l'utiliser pour vérifier un utilisateur lors de la récupération de données à partir du cloud. Avec Oreo, un identifiant basé sur la clé de signature des développeurs d'applications (un outil utilisé pour vérifier qu'une application est originale et n'a pas été falsifiée avec) notre identifiant publicitaire Android (une fonction des services Play et quelque chose que nous pouvons effacer ou désactiver) et l'appareil réel IDENTIFIANT. Chaque instance de l'identifiant Android est désormais différente et isolée de l'application qui l'a générée.
Cela augmente la mise sur la confidentialité des utilisateurs, car un développeur ne peut pas suivre les utilisateurs d'une application avec une autre application ou partager des données utilisateur basées sur l'ID avec d'autres applications.
Ceci s'applique à chaque application, pas seulement les applications destinées à Android O. Mais il y a une mise en garde: les applications installées avant une mise à jour du système Android O utiliseront toujours l'ancien identifiant. Vous devrez les désinstaller et les réinstaller si vous souhaitez utiliser un moyen unique et plus sûr de vérifier votre identité.
- Le système de "sources inconnues" d'installation d'applications en dehors de Google Play a été complètement repensé.
Plus: Voici pourquoi le chargement latéral des applications est plus sûr avec Android Oreo
Google fait également d'autres choses pour aider à réduire les logiciels malveillants et les alertes à la sécurité. Nous avons récemment considéré Google Play Protect comme une nouvelle marque pour les appareils de vente au détail couverts par le service d'analyse d'applications compatible avec l'apprentissage automatique de Google, et correctifs mensuels pour les exploits de sécurité aident à mettre à jour Android lui-même contre les nouveaux problèmes de sécurité.
Nous devons toujours faire attention à ce que nous installons, mais il est bon de savoir que l'équipe de sécurité Android nous soutient.