Google met à jour les vérifications de signature de fichier pour les applications Android,
vous pourrez désormais faire des MaJ de certaines app téléchargées hors de Play Store

Google modifie la façon dont l'application Play Store vérifie l'authenticité des applications Android avant l'installation. La société prévoit de modifier l'en-tête des fichiers APK (application Android) pour inclure un nouveau champ de métadonnées contenant la signature du fichier de l'application.

Les applications n'incluaient pas ce champ car elles n'en avaient pas besoin, car les applications approuvées par Google ne pouvaient être installées que via l'application Play Store officielle, qui traitait toutes ces vérifications en arrière-plan avant l'installation de l'application.

James Bender a expliqué que :

« L'une des raisons pour lesquelles nous faisons cela est d’aider les développeurs à atteindre un public plus large, en particulier dans les pays où le partage d'applications peer-to-peer est commun en raison de plans de données coûteux et d'une connectivité limitée.

« À l'avenir, pour les applications obtenues via les canaux de distribution approuvés par Play, nous pourrons déterminer l'authenticité de l'application lorsqu'un appareil est hors connexion, ajouter ces applications partagées à la bibliothèque de jeux d'un utilisateur et gérer les mises à jour. Cela donnera plus de confiance aux utilisateurs lors de l'utilisation d'applications de partage peer-to-peer approuvées par Play.

« Cela vous profite également en tant que développeur car vous trouverez ainsi un canal de distribution hors ligne approuvé Play et, puisque l'application partagée peer-to-peer est ajoutée à la bibliothèque Play de votre utilisateur, votre application sera désormais éligible pour les mises à jour d'application de Play ».

En clair, certaines applications installées en passant par un fichier APK (et donc en ne passant pas par Google Play) vont être intégrées à la bibliothèque Play Store de l’utilisateur. Cependant, seules les applications présentes dans le Store pourront être ainsi incluses, comme si elles avaient été téléchargées normalement.

Lorsque l'utilisateur tentera de charger une application qu'il a obtenue via un réseau de partage d'applications peer-to-peer, l'application Play Store vérifiera le champ de métadonnées supplémentaire et pourra déterminer si l'application provient du site officiel. Google Play Store, permettant l'installation et la synchronisation avec l'inventaire officiel des applications du téléphone.

Lorsque l'utilisateur revient en ligne, l'application est automatiquement mise en file d'attente pour recevoir des mises à jour depuis le Play Store, ce qui n'était pas possible auparavant pour les applications téléchargées lorsque l'utilisateur était hors connexion.

Cette certification permet donc d’être averti des mises à jour de l’application et de les installer directement via le Play Store. De plus, une application intégrée au Store de Google profite de vérifications de sécurité régulières.

Nom : google_play.png
Affichages : 1261
Taille : 6,7 Ko

Quel est donc l’intérêt, en sachant que l’utilisateur peut directement passer par le Play Store ? Google aurait constaté que, dans les pays où la connexion internet est très chère, des utilisateurs s’échangent des fichiers APK entre eux pour installer les applications à moindre coût. De plus, Bender affirme que ce nouveau champ de signature d'application bénéficiera aux développeurs car ils disposent d'un canal plus large pour la distribution d'applications et ne seront pas limités au Play Store uniquement.

« Aucune action n'est requise par les développeurs ou par ceux qui utilisent votre application ou votre jeu. Nous ajustons la taille maximale des fichiers APK de Google Play pour prendre en compte la petite addition de métadonnées, qui est insérée dans le bloc de signature APK. En plus d'améliorer l'intégrité de l'écosystème des applications mobiles de Google Play, ces métadonnées présenteront également de nouvelles opportunités de distribution pour les développeurs et aideront plus de personnes à maintenir leurs applications à jour ».

Toutefois, certains chercheurs affirment que ce changement pourrait permettre aux applications malveillantes, qui ont été téléchargées pendant une courte période sur le Play Store officiel, d'apparaître comme authentiques lorsqu'elles sont distribuées via des canaux de distribution hors ligne, leur signature apparaissant comme authentique après avoir été retirée du Play Store.

Source : blog Google

Et vous ?

Que pensez-vous de cette stratégie ?
Partagez-vous les craintes des experts qui pensent que cela peut constituer un vecteur d'infiltration ?

Voir aussi :

Cryptojacking : l'émulateur Android Andy OS mine du bitcoin à l'insu de ses utilisateurs, peut-on vraiment faire confiance aux éditeurs de logiciels ?
Samsung annonce son Chromebook Plus (V2) convertible de 12" au format 16/10 pour les adeptes de Chrome OS et d'applis Android
Google améliore les capacités de traduction hors ligne de son application Translate pour iOS et Android en injectant de l'intelligence artificielle
Android : le régulateur européen de la concurrence pourrait rendre sa décision contre Google à la mi-juillet, une amende record dissuasive annoncée
Google lance la bêta 2 d'Android P avec une centaine de nouveaux emojis et finalise les fonctionnalités introduites avec les versions précédentes