Discussion :

[Stéphane le calme]

Google Play : plus de 1 % des applications sont des contrefaçons,
selon une étude de BitDefender

Selon les résultats d'une analyse menée par les chercheurs du fournisseur d'antivirus BitDefender, il apparaît que plus d'un pour cent des applications disponibles sur Google Play sont en réalité des contrefaçons qui ont été conçues pour un suivi de l'utilisateur des plus intrusifs.

Les chercheurs ont analysé 420 646 applications disponibles sur la vitrine de Google. Parmi elles figuraient 5 077 dont les codes avaient été copiés à plus de 90 % sur des applications légales telles que Facebook, Twitter et bien d'autres. Catalin Cosoi, chef de la stratégie sécurité chez Bitdefender, a déclaré que ces produits contrefaits ne devraient pas être pris pour des versions différentes d'une application authentique : « ici, il s'agit d'un éditeur qui prend une application, reprend son code, ajoute des SDK publicitaires agressifs ou d'autres balises, puis le reconditionne et le distribue comme étant le sien ».

Loredana Botezatu, ingénieur BitDefender, explique que « d'autres modifications consistent à ajouter des modules supplémentaires de publicité pour recueillir davantage de données provenant de l'utilisateur que ce que le développeur initial a prévu ». En outre, une application plagiée contient des modules qui peuvent modifier le comportement de l'application en lui octroyant par exemple l'accès à la géolocalisation, au plateformes des réseaux sociaux et d'autres accès encore. Loredana Botezatu souligne qu'une copie peut « placer des icônes sur l'écran d'accueil , des spams sur la barre de notification, et ainsi de suite » afin de maximiser les revenus du pirate.

Certaines imitations de Facebook ou Twitter par exemple offrent les mêmes fonctionnalités que les applications originales à des exceptions près comme la couleur du design ou de l'arrière-plan. Certaines d'entre elles ressemblaient tellement aux originales qu'elles ont été téléchargées plus de 50 000 fois.

Source : Hot For Security

Et vous ?

Qu'en pensez-vous ?

[Tommyzeking]

Pas très étonnant, quand on voit que pour une poignée d'€ on peut s'offrir un compte développeur à vie et rendre disponible tout et n'importe quoi

[goomazio]

Vous pensez qu'il n'y a pas ce phénomène sur l'Apple Store, ou qu'il est moins important, et ce vu qu'il faut payer plus cher et qu'il faut repayer tous les ans ? Sans doute que non.

Moi qui n'apprécie pas ce côté inaccessible du store Apple, j'ai du mal à accepter que l'on critique négativement l'accessibilité de celui d'Android sur ce point. J'espère qu'il existe d'autres solutions pour éviter les arnaqueurs que de faire payer les développeurs aussi cher. Par exemple avec un contrôle des applications publiée sur le store... Ce qui devrait être fait et devrait permettre de détecter très facilement les fausses applications connues (laisser passer un faux facebook, il faut le faire... Ils savent détecter les vidéos pédophiles sur youtube mais pas les fausses applications facebook ? )

[madfu]

ici, il s'agit d'un éditeur qui prend une application, reprend son code, ajoute des SDK publicitaires agressifs ou d'autres balises, puis le reconditionne et le distribue comme étant le sien ».

C'est de la décompilation donc ?

[I_Pnose]

C'est de la décompilation donc ?

On parle de Reverse engineering, et en java (ou tout autre langage s'exécutant sur une machine virtuelle) c'est une procédure relativement aisée. En somme, obtenir le code source d'un exécutable non obfusqué est l'affaire d'une poignée de secondes (certains décompileur permettent même la création d'un projet prêt à l'emploi... dans les faits il y a toujours des retouches à faire, mais ça mâche le travail).

Bref, vu la simplicité de la chose il n'est pas étonnant de voir fleurir des clones d'applications populaires. Là où c'est regrettable par contre, c'est que Google a les moyens de mettre en place un workflow de certification fiable, mais visiblement ne le fait pas (après, les autres plateforme le font-elles ? rien n’est moins sûr).

[madfu]

certains décompileur permettent même la création d'un projet prêt à l'emploi... dans les faits il y a toujours des retouches à faire, mais ça mâche le travail

Je ne savais pas que ça allait si loin en effet..., autrement dit il est fortement conseillé d'offusquer son code Android si je comprends bien.

après, les autres plateforme le font-elles ? rien n’est moins sûr

Il y'a effectivement un mécanisme de protection sur les stores Apple, le code compilé d'une appli téléchargée sur l'appstore est transmise cryptée au device et décryptée par l'os à l'exécution, après je ne sais pas ce qu'il existe comme outil pour décompiler cette app en mémoire mais bon il y'a quelque chose et ça paraît moins facile vu comme ça.

[I_Pnose]

Obfusquer son code rend la tache plus difficile, c’est un fait (et Android n’est pas la seule cible ; C#/XAML pour les plateformes Windows Phone et WinRT n’échappe pas à la règle - quant à objective-c pour iOS je ne connais pas du tout). Après il y a toujours l’alternative du code natif en C++

Et quand je parlais de workflow de certification, je faisais davantage allusion aux procédures de vérification et de validation des apps avant d’être mise à disposition sur le store. Après, la sécurité des packages, c’est une autre histoire (et de toute façon il n’existe aucun moyen de protection ultime).

[Dar0ck]

Vous pensez qu'il n'y a pas ce phénomène sur l'Apple Store, ou qu'il est moins important, et ce vu qu'il faut payer plus cher et qu'il faut repayer tous les ans ? Sans doute que non.

Moi qui n'apprécie pas ce côté inaccessible du store Apple, j'ai du mal à accepter que l'on critique négativement l'accessibilité de celui d'Android sur ce point. J'espère qu'il existe d'autres solutions pour éviter les arnaqueurs que de faire payer les développeurs aussi cher. Par exemple avec un contrôle des applications publiée sur le store... Ce qui devrait être fait et devrait permettre de détecter très facilement les fausses applications connues (laisser passer un faux facebook, il faut le faire... Ils savent détecter les vidéos pédophiles sur youtube mais pas les fausses applications facebook ? )

Hors-sujet. L'article ne parle pas de l'accessibilité à un store mais de la sécurité des applications de celui-ci. Il n'est pas normal qu'un magasin d'application officiel puisse proposer des applications piratées et/ou vérolées. Il existe une relation de confiance quand on télécharge une application: si j'achète un jeu sur Steam, je m'attends à ce que ça soit l'original et qu'il soit propre. Idem pour tous les autres stores. Android est le seul à faire exception, et c'est un défaut majeur de la plateforme.

[goomazio]

Je répondais au message précédant le miens, qui faisait le lien entre accessibilité du store et "sécurité" des applications

Faire payer le développeur pour développer et pouvoir utiliser son application est sans doute un moyen d'empêcher qu'il y ait autant de fausses applications. Mais ça m'ennuie parce que ça empêche les gentils bénévoles de proposer de belles applications simples et utiles ET sans pubs horribles.