Il y a un mois, Google donnait quelques informations sur la manière dont les utilisateurs étaient protégés sur Android, via un mécanisme nommé Verify Apps. La société en dit un peu plus à ce sujet, recommandant d’ailleurs d’en vérifier l’activation dans les paramètres d’Android.

Verify Apps est un mécanisme situé côté serveurs chez Google. Il communique avec les appareils Android pour vérifier à l’installation des applications si elles contiennent des mécanismes capables de porter atteinte à l’utilisateur. Google dispose ainsi d’une vaste base de données, qui se complète graduellement via les informations recueillies sur les smartphones et tablettes, selon une mécanique expliquée le mois dernier.

Tout un monde de dangers

Le but de Verify Apps est avant tout de repérer les Potentially Harmful Applications, ou PHA. Dans un nouveau billet d’explications – toutefois plus succinct que le premier - Google indique qu’elles peuvent être de plusieurs types, selon la ou les menaces détectées : portes dérobées, fraude bancaire ou sur la facturation, logiciel espion, téléchargements « hostiles » (récupération d’une charge virale depuis une application) ou encore chevaux de Troie.

Verify Apps intervient en deux temps. Il vérifie d’abord toute installation d’application sur un appareil Android, qu’elle provienne du Play Store ou d’une source tierce. Elle relance également des analyses régulières pour savoir si tout va bien. Les réponses des appareils sont d'ailleurs importantes pour le renforcement de la base de données côté Google.

Bloquer l'installation ou désinstaller, parfois automatiquement

Dans la plupart des cas, quand une PHA est détectée, Android génère dans la foulée une alerte pour expliquer la situation à l’utilisateur. Avant son installation, le système interrompt la procédure, indique pourquoi, et laisse le choix entre valider cette décision ou continuer quand même l’installation. S’il s’agit d’une application déjà en place, il lui est proposé de la supprimer.

Google indique qu’il peut arriver que le service soit si sûr de la toxicité d’une PHA qu’il la désinstalle sans rien demander, mais en notifiant tout de même du résultat. La procédure est décrite comme « très rare ».

Attention cependant, car en dépit des informations données par Google, il ne faut pas comparer Verify Apps avec un antivirus. Ce mécanisme travaille en effet sur la base d’informations obtenus a posteriori, en comparant les installations d’applications et la réponse des smartphones. Dans le cas d’une vague d’attaque récente, il ne sera pas forcément en mesure d’avertir l’utilisateur si les données nécessaires n’ont pas encore été rassemblées.

Google profite en fait de l’occasion pour rappeler aux utilisateurs de vérifier que Verify Apps est bien activé. On trouve l’option – normalement cochée par défaut – dans les paramètres d’Android, puis dans la section « Personnel ». On se rend alors dans Google, puis dans Sécurité et Vérifier les applications, et on active « Analyser appareil pour détecter menaces de sécurité ». Notez qu'une deuxième option permet d'envoyer régulièrement des données télémétriques pour renforcer cette protection, mais elle n'est pas cochée par défaut.