Ce scanner a été mis en œuvre à l’intérieur de l’application officielle Google Play, mais est conçu pour fonctionner avec les applications de tous les app stores, y compris ceux de Google Play et des propositions alternatives. Un utilisateur peut activer le service marche / arrêt en allant dans "Paramètres", "sécurité", puis "Vérifier applications." Quand une application est en cours d’installation (étape 1), le service, si activée, sera appelé (étape 2) pour collecter et envoyer des informations à propos de l’application (par exemple, le nom de l’application, la taille, la valeur SHA1, la version et l’URL qui lui est associé) ainsi que des informations sur le périphérique (par exemple, l’ID du périphérique et l’adresse IP) vers le nuage de Google (étape 3). Après cela, le nuage Google répondra avec un résultat de détection (étape 4). Si l’application n’est pas sans danger, l’utilisateur reçoit un message d’avertissement (étape 5) pour lui signaler que l’application est soit dangereuse ou potentiellement dangereuse. Les Applications dangereuses sont bloquées en cours d’installation, tandis que celles qui sont potentiellement dangereuses au lieu d’alerter les utilisateurs lui propose soit de continuer ou d’annuler l’installation (étape 6) via un Pop-Up.

Nous notons que cette application de vérification est facultative, mais activée par défaut. La première fois qu’une application est chargée, une fenêtre vous demandera si vous souhaitez "Autoriser Google à vérifier toutes les applications installées sur cet appareil pour un comportement dangereux ?". Si oui, lorsqu’une application est détectée comme potentiellement dangereux, l’utilisateur sera invité soit à poursuivre ou annuler l’installation. S’il est détecté comme dangereux, l’application sera bloquée dés l’installation.

Le professeur Xuxian Jiang a effectué ses expériences le 30 Novembre 2012, en utilisant le même ensemble de données de 1260 échantillons (appartenant à 49 familles différentes) qui a été largement partagées au sein de la communauté de recherche, y compris Google. Son étude a porté sur l’installation semi-automatisée d’entre eux sur quelques-uns des derniers Nexus 10 comprimés (16 Go) fonctionnant sous Android 4.2 (numéro de build : JOP40C).. Globalement, parmi ces échantillons 1260, 193 d’entre eux peuvent être détectées, indiquant un faible taux de détection de 15,32%.

En outre, il a procédé à une autre série d’expériences visant à comparer le service de Google app en le comparant avec un check par des moteurs anti-virus. Plus précisément, il a choisi au hasard un échantillon de chaque famille de logiciels malveillants et les a testé avec le service VirusTotal (racheté par Google en Septembre 2012). Pour son expérience il a utilisé les 10 moteurs d’anti-virus suivants : Avast, AVG, TrendMicro, Symantec, BitDefender, ClamAV, F-Secure, Fortinet, Kaspersky, et Kingsoft. Dans l’ensemble, les taux de détection de ces moteurs vont de 51,02% à 100% tandis que le taux de détection du nouveau service de Google est 20,41%.

En outre son étude montre que le service de vérification SHA1 utilise principalement une application de la valeur et le nom du paquet pour déterminer s’il est dangereux ou potentiellement dangereux. Ce mécanisme est fragile et peut être facilement contournée. On sait déjà que les attaquants peuvent changer avec facilité les sommes de contrôle des logiciels malveillants existant (par exemple, par le reconditionnement ou mutation). Pour être plus efficace, des informations supplémentaires à propos de l’application peuvent être nécessaire de recueillir. Cependant, la façon de déterminer les informations supplémentaires pour la collecte est encore largement inconnu - compte tenu en particulier des problèmes de confidentialité des utilisateurs.

En outre, le service de vérification nouvelle application s’appuie en grande partie sur le composant serveur (dans le nuage Google) pour déterminer si une application est malveillante ou non. Malheureusement, il n’est pas réaliste de supposer que le serveur dispose de tous les échantillons de logiciels malveillants existants (en particulier avec des informations limitées comme les sommes de contrôle d’applications et noms de paquets). Par ailleurs, le client, dans l’implémentation actuelle, n’a pas de capacité de détection, ce qui suggère des améliorations sont possibles. Cependant, en raison du traitement limitée et de la puissance de communication sur les appareils mobiles, un équilibre délicat doit être trouvé pour que la capacité de détection ne nuise pas à la connectivité.

Last but not least, il a remarqué que VirusTotal (propriété de Google) n’a pas été intégrée dans ce service de vérification app. Selon ses mesures, VirusTotal est plus performant que ce service autonome. Pour obtenir des résultats de détections améliorées, il estime que cette intégration sera bien utile.

En introduisant cette nouvelle application de service de vérification dans Android 4.2, Google a démontré son engagement à améliorer sans cesse la sécurité sur Android. Pour le professeur ce service est encore naissant et Google a encore un long chemin à parcourir pour sécuriser Android.

Pour en savoir plus : http://www.csc.ncsu.edu/faculty/jiang/appverify/