- Si l’on utilise une version personnalisée d’Android sans Google Play Store, il est possible de sideloader des applications Android ou d’installer manuellement des paquets APK
- Lors de la conférence Google I/O de mai 2024, Google a présenté un outil pour développeurs qui affiche une boîte de dialogue de « Remediation » pendant le sideloading
- Si l’on sideloade des applications comme Tesco, BeyBlade X ou ChatGPT, une invite « Get this app from Play » s’affiche et ne peut pas être contournée
- Une invite similaire apparaît aussi dans Diablo Immortal sur des consoles portables de jeu Android
Applications bloquées à cause de la Play Integrity API
- L’Integrity API de Google Play permet de bloquer l’accès lorsqu’une application se lance sur un téléphone dont l’OS de base a été modifié
- Récemment, l’application MFA populaire Authy a bloqué l’accès sur des téléphones dotés d’un firmware modifié, comme GrapheneOS
- Les applications appellent la Play Integrity API pour vérifier si l’environnement logiciel du téléphone est « fiable », si Google Play Protect est activé, etc.
- Graphene remet en question la fiabilité de l’Integrity API de Google et du système SafetyNet Attestation, et recommande l’attestation matérielle standard d’Android
- Les applications ne sont pas obligées d’adopter une approche « All-Or-Nothing » pour les contrôles d’intégrité : elles peuvent n’appeler l’API que lors d’opérations sensibles et afficher simplement un avertissement
- Cependant, sans connexion au Play Store, les développeurs n’obtiennent pas de métriques, les applications peuvent être installées sur des appareils incompatibles et recevoir de mauvais avis, et les apps payantes peuvent aussi être davantage exposées au piratage
Les « canaux de distribution inconnus » sont bloqués
- D’après une vidéo destinée aux développeurs sur l’« Automatic integrity protection » de Google, seules certaines applications « sélectionnées » peuvent accéder à cette protection automatique
- Elle ajoute à l’application des outils de vérification automatiques et « la version la plus puissante de la protection anti-altération de Google Play »
- Une diapositive de la présentation indique que « si les utilisateurs obtiennent une application protégée depuis un canal de distribution inconnu, ils seront invités à l’obtenir depuis Google Play »
- L’an dernier, Google a introduit une analyse anti-malware des applications sideloadées au moment de l’installation
- Google et Apple se sont opposés aux lois visant à « étendre le droit au sideloading » des propriétaires de smartphones, en invoquant des préoccupations de sécurité et de stabilité
- En début d’année, les régulateurs européens ont forcé Apple à autoriser les applications sideloadées et les app stores tiers, mais avec des frais et des restrictions géographiques
1 commentaires
Je vais peut-être devoir faire un don à F-Droid.