Introduction

Google a annoncé un nouveau processus de sideloading d'applications non vérifiées sur Android, qui permettra aux utilisateurs avancés de contourner la vérification des applications. Ce processus, appelé « advanced flow », sera disponible avant la mise en œuvre de la vérification des développeurs plus tard cette année.

Contexte Technique

Le processus de sideloading d'applications non vérifiées sur Android consiste à activer les options de développement, puis à autoriser les packages non vérifiés. Cependant, ce processus est différent de l'activation de la toggle « unknown sources » et nécessite une attente de 24 heures avant de pouvoir installer des applications non vérifiées.

Les étapes pour activer ce processus sont les suivantes : activer les options de développement, ouvrir les options de développement, activer la toggle « Allow Unverified Packages », confirmer que l'on n'est pas sous coercition, redémarrer le dispositif, attendre 24 heures, puis sélectionner « Allow temporarily » ou « Allow indefinitely ».

Analyse et Implications

La mise en œuvre de ce processus vise à lutter contre les attaques de social engineering qui visent à convaincre les utilisateurs d'installer des applications malveillantes. Selon Sameer Samat, président d'Android, ce processus est conçu pour rendre plus difficile pour les attaquants de persister leurs attaques.

Cependant, des préoccupations ont été exprimées concernant la vérification des développeurs, notamment en ce qui concerne la création d'une base de données qui pourrait mettre les développeurs indépendants à risque de poursuites judiciaires. Google a affirmé qu'il ne créera pas de liste permanente d'identités de développeurs qui pourrait être vulnérable aux demandes judiciaires.

Perspective

La mise en œuvre de la vérification des développeurs sur Android est prévue pour commencer en septembre dans certains pays, notamment le Brésil, la Singapour, l'Indonésie et la Thaïlande. Il est important de surveiller les développements futurs concernant la vérification des développeurs et les implications pour les utilisateurs et les développeurs d'applications Android.

Il est également important de noter que Google a affirmé que la vérification des développeurs n'est pas destinée à créer une barrière pour les développeurs indépendants, mais plutôt à protéger les utilisateurs contre les applications malveillantes. Cependant, des questions demeurent concernant la façon dont Google gérera les données des développeurs et les edge cases, tels que les développeurs vivant dans des pays sous sanctions.