Analyse et examen
Avant qu'une application ne soit disponible au téléchargement sur Google Play, nous analysons et examinons l'application ainsi que ses développeurs. À l'aide de mécanismes de détection automatisés (par exemple, le machine learning) et d'analystes humains, nous nous efforçons de garantir que les applications qui apparaissent dans Google Play ne sont pas dangereuses pour les utilisateurs ou leurs appareils.
Avis du développeur
En tant que développeur, vous devez accepter le Contrat relatif à la distribution (pour les développeurs) de Google Play avant de pouvoir envoyer vos applications sur Google Play. Ce contrat décrit le comportement que nous attendons des développeurs qui publient des applications sur Google Play.
De plus, Google Play utilise différentes méthodes pour vérifier que les développeurs respectent ces règles. Le moteur de gestion des risques interne de Google Play analyse les informations du compte Google, des actions, de l'historique, des informations de facturation, des appareils, etc. d'un développeur. En cas de problème, nous examinons manuellement les transactions afin de nous assurer que le développeur les respecte.
Examen interne de l'application
Les applications sont soumises à un processus d'examen pour vérifier qu'elles respectent les règles de Google Play avant d'être disponibles sur Google Play. Google a développé un analyseur de risques automatisé qui effectue une analyse statique et dynamique des applications afin de détecter les comportements potentiellement dangereux des applications (PHA). Lorsque l'analyseur des risques d'une application de Google détecte un élément suspect, il signale l'application et l'oriente vers un analyste de sécurité afin qu'il procède à un examen manuel.
Examen de l'application en dehors de Google Play
Nous nous efforçons de protéger les utilisateurs contre les applications potentiellement dangereuses et les logiciels indésirables sur mobile, quelle que soit leur source. Il est donc important que nos systèmes analysent et collectent des données sur autant d'applications que possible. Les applications sont signalées par des chercheurs en sécurité, des utilisateurs et d'autres entités que nous identifions en explorant Internet et en inspectant les applications installées sur d'autres marchés.
Les utilisateurs peuvent autoriser Google à examiner les nouvelles applications en activant la fonctionnalité Améliorer la détection des applis dangereuses dans Google Play Protect sur leur appareil. L'activation de cette fonctionnalité aide Google à analyser davantage d'applications et plus d'applications sont analysées par nos systèmes, mieux Google Play Protect est en mesure d'identifier et de limiter l'impact des PHA sur tous les appareils.
Machine learning
Play Protect exploite les puissants algorithmes de machine learning de Google pour lutter contre les PHA. Les systèmes Google identifient les applications dangereuses et celles qui sont sécurisées en analysant l'ensemble de notre base de données d'applications. Les algorithmes analysent des centaines de signaux et comparent les comportements dans l'écosystème Android pour déterminer si des applications présentent un comportement suspect, par exemple une interaction inattendue avec d'autres applications sur l'appareil, l'accès à des données à caractère personnel ou leur partage sans autorisation, l'installation agressive d'applications (y compris des applications potentiellement dangereuses), l'accès à des sites Web malveillants ou le contournement des fonctionnalités de sécurité intégrées. Ces algorithmes nous aident également à comprendre d'où viennent les PHA et comment elles gagnent de l'argent, afin de déterminer la motivation derrière ces types d'applications.
Voici quelques-uns des outils que nous utilisons pour apprendre aux machines à identifier les bons et les mauvais comportements.
Le code de l'application est analysé, et les caractéristiques sont extraites, et comparées au comportement attendu ou potentiellement insatisfaisant.
GPP entretient des relations actives avec les chercheurs en sécurité du secteur et universitaires. Ces chercheurs évaluent les applications de différentes manières et envoient des commentaires sur leurs découvertes.
GPP utilise des signatures pour comparer les applications à une base de données d'applications malveillantes et de failles connues.
GPP analyse les caractéristiques sans code pour déterminer les relations possibles entre les applications et déterminer si le développeur qui a créé l'application a été associé à la création de PHA.
GPP exécute des applications pour identifier les comportements interactifs qui ne sont pas visibles avec une analyse statique. Cela permet aux examinateurs d'identifier les attaques qui nécessitent un accès au serveur et un téléchargement de code dynamique.
La GPP compare les applications pour identifier les tendances qui identifient les applications dangereuses.
SafetyNet est un réseau de capteurs protégeant la confidentialité qui couvre l'écosystème Android et identifie les applications et autres menaces susceptibles d'endommager les appareils.
Classer les applications
Après avoir analysé les applications, la GPP les classe sur une échelle allant de la sécurité au danger. Les applications et les mises à jour marquées comme sûres sont adoptées dans Google Play. Les applications signalées comme dangereuses sont bloquées. Si les algorithmes d'examen ne permettent pas de déterminer si une application est sûre ou dangereuse, elle est marquée comme potentiellement dangereuse. Les membres de l'équipe de sécurité Android examinent manuellement les PHA. Les développeurs qui effectuent sciemment des actions malveillantes sont exclus et ne peuvent plus publier d'applications sur Google Play.
Protection continue
La GPP continue de protéger les utilisateurs après qu'ils ont installé une application, même s'il s'agit de celle-ci téléchargée depuis d'autres sources que Google Play. Les protections de la GPP analysent et analysent chaque application présente sur l'appareil.