Vous pouvez télécharger une application Android ou installer manuellement son package APK si vous utilisez une version personnalisée d’Android qui n’inclut pas le Play Store de Google. L’application peut également être expérimentale, en cours de développement ou peut-être n’est plus maintenue et proposée par son développeur. Jusqu’à présent, l’existence d’APK prêts à être téléchargés sur le Web était quelque chose qui semblait être toléré, voire contre-indiqué, par Google.
Cette impasse silencieuse est en train d’être bouleversée par une nouvelle fonctionnalité de l’API Play Integrity de Google. Comme l’a rapporté Android Authority, les outils de développement permettant de pousser les dialogues de « remédiation » lors du chargement latéral ont fait leurs débuts lors de la conférence I/O de Google en mai et ont commencé à apparaître sur les téléphones des utilisateurs. Les chargeurs latéraux d’applications du magasin britannique Tesco, de l’application fandom BeyBlade X et de ChatGPT ont signalé des invites « Obtenir cette application à partir de Play », qui ne peuvent pas être contournées. Un utilisateur d’appareil de jeu portable Android a rencontré une invite formulée de manière similaire Diablo Immortel sur leur appareil il y a trois mois.
L’API Play Integrity de Google permet aux applications de bloquer l’accès lorsqu’elles sont chargées sur des téléphones qui ont été modifiés d’une manière ou d’une autre à partir d’un système d’exploitation standard avec toutes les intégrations Google Play intactes. Récemment, une application d’authentification à deux facteurs populaire a bloqué l’accès sur les téléphones avec un firmware modifié, notamment GrapheneOS, qui vise à surpasser la sécurité du système d’origine d’Android. Les applications peuvent appeler l’API Play Integrity et obtenir un « verdict d’intégrité », indiquant si le téléphone dispose d’un environnement logiciel « digne de confiance », si Google Play Protect est activé et s’il passe d’autres contrôles logiciels.
Graphene a remis en question la véracité des systèmes d’attestation SafetyNet et Integrity API de Google, recommandant plutôt l’attestation matérielle Android standard. Rahman note que les applications ne doivent pas nécessairement adopter une approche du tout ou rien pour vérifier l’intégrité. Plutôt que de bloquer complètement l’installation, les applications pourraient faire appel à l’API uniquement lors d’actions sensibles, en émettant un avertissement à ce moment-là. Mais l’absence de connexion au Play Store peut également priver les développeurs de mesures, permettre l’installation sur des appareils incompatibles (et les mauvaises critiques qui en résultent) et, bien sûr, ouvrir la porte au piratage d’applications payantes.
« Canaux de distribution inconnus » bloqués
La vidéo de développement de Google sur la « protection automatique de l’intégrité » (à 12 minutes et 24 secondes sur YouTube) indique que certaines applications « sélectionnées » ont accès à la protection automatique. Cela ajoute un outil de vérification automatique à votre application et la « version la plus puissante de la protection anti-altération de Google Play ». « Si les utilisateurs obtiennent votre application protégée à partir d’un canal de distribution inconnu », peut-on lire sur une diapositive de la présentation, « ils seront invités à l’obtenir à partir de Google Play », disponible pour certains « partenaires Play ».
L’année dernière, Google a introduit une analyse des programmes malveillants sur les applications téléchargées latéralement au moment de l’installation. Google et Apple se sont prononcés contre une législation qui élargirait les droits de téléchargement latéral pour les propriétaires de smartphones, invoquant des problèmes de sécurité et de fiabilité. Les régulateurs européens ont forcé Apple plus tôt cette année à autoriser le téléchargement latéral d’applications et de boutiques d’applications, mais avec des frais et des restrictions géographiques.
Une version antérieure de cet article décrivait de manière erronée la nature des modifications apportées par GrapheneOS au firmware Android. Ars regrette cette erreur.