En août, Google a annoncé qu'il activerait la fonction de vérification des applications téléchargées dans certaines régions à partir de l'année prochaine. Cette fonctionnalité oblige les développeurs d'applications à effectuer l'authentification d'identité et les signatures nécessaires avant que leurs applications puissent être installées via le chargement latéral. Cela signifie que même s'ils ne sont pas publiés sur le Google Play Store, ils doivent être vérifiés sinon ils ne seront toujours pas installés.

L'intention initiale de la politique de Google était de lutter contre la fraude. Cependant, il est surprenant de mettre en place un tel niveau de vérification pour le système Android ouvert, car les utilisateurs ne peuvent installer aucune application à partir de n'importe quelle source à volonté, ce qui réduit en réalité l'ouverture du système Android.

Afin de répondre aux critiques d'un grand nombre d'utilisateurs et de développeurs, Google a révélé qu'il élaborait un nouveau processus avancé pour permettre aux utilisateurs expérimentés tels que les développeurs et les utilisateurs de console de supporter le risque d'installer des applications non vérifiées, c'est-à-dire que les développeurs et les utilisateurs de console peuvent télécharger et installer des applications sans aucune authentification.

Cependant, Google n'a pas divulgué le contenu précis de ce processus avancé. Google promet de concevoir spécialement ce processus et de partager plus de détails dans les prochains mois. Parallèlement, dans le plan actuel, Google lance également des types de comptes dédiés aux étudiants et aux amateurs, qui permettent de distribuer des applications sur un nombre limité d'appareils sans vérification complète.

En outre, Google continue de souligner l'importance du travail antifraude :

Les garanties techniques sont importantes, mais elles ne peuvent toujours pas résoudre toutes les situations dans lesquelles les utilisateurs sont manipulés. Les fraudeurs utiliseront des tactiques sociales à haute pression pour inciter les utilisateurs à contourner diverses mesures de protection.

Par exemple, une méthode d’attaque courante que nous avons suivie en Asie du Sud-Est consiste à appeler les victimes pour leur faire savoir que leurs comptes bancaires ont été compromis. Ils utilisent la peur et l’urgence pour inciter les victimes à installer des applications dites de vérification pour protéger leurs fonds. Dans le même temps, les fraudeurs demandent également aux utilisateurs d’ignorer divers avertissements de sécurité standard.

Une fois installé, ce soi-disant programme de vérification intercepte les notifications et les messages texte. Lorsque l'utilisateur se connecte à la véritable application bancaire, le fraudeur peut voler le code d'authentification à deux facteurs et transférer des fonds depuis le compte de la victime.

Les mécanismes de vérification obligent les fraudeurs à utiliser des identités réelles pour propager des logiciels malveillants, ce qui augmente considérablement la difficulté et le coût de l'extension des attaques. Les exigences de vérification des développeurs sont désormais en vigueur dans le Google Play Store.

Bien sûr, on ne peut pas dire que la déclaration de Google soit complètement fausse, mais il est impossible pour les fraudeurs d'utiliser des identités réelles à des fins de vérification. Les gangs frauduleux achèteront inévitablement des informations d’identité par divers canaux pour enregistrer un grand nombre de comptes. Cela augmentera effectivement les coûts, mais il peut être un peu exagéré de s'attendre à ce que cette mesure réduise le nombre d'applications malveillantes. Le prix à payer est qu'un grand nombre d'utilisateurs seront confrontés à la situation embarrassante de ne pas pouvoir charger et installer directement des applications non vérifiées.