Sécurité

Google doit-il accélérer la suppression des applications malveillantes Copycat?

Google doit-il accélérer la suppression des applications malveillantes Copycat? / Sécurité

Le logiciel open source est génial. Vous avez le choix entre des milliers d’applications gratuites, ce qui vous permet de choisir comment soutenir les développeurs. Certains demandent un don, d'autres affichent une annonce occasionnelle, etc. L'important est que les développeurs open source reçoivent au moins quelque chose en échange de leur travail..

Le développement open source présente également des inconvénients. Par exemple, n'importe qui peut prendre votre travail, le cloner, changer des détails subtils et republier comme si c'était leur propre.

Que se passe-t-il dans ces cas? Le développeur original peut-il protéger son travail? Le fraudeur “développeur” subir aucune conséquence?

Google, VLC et le copycat

VLC est l'un des meilleurs lecteurs multimédias autour de 6 caractéristiques impressionnantes de VLC que vous ignorez peut-être 6 caractéristiques impressionnantes de VLC que vous ne connaissez peut-être pas Il y a une raison pour laquelle VLC est appelé le couteau suisse des lecteurs multimédias. Cet article identifie six fonctionnalités VLC géniales et explique comment les utiliser. Lire la suite . Aimé des utilisateurs de bureau et mobiles, VLC est un géant open source. Le nombre de téléchargements VLC s’élève à 2 495 411 000. C'est vrai: plus de 2,4 milliards de téléchargements.

VideoLAN, l'équipe de développement derrière VLC, a récemment confirmé qu'elle avait refusé des dizaines de millions d'euros pour intégrer de la publicité à son logiciel..

La publicité dans une application open source n'est pas contre une licence libre. Licences de logiciels Open Source: lesquelles devriez-vous utiliser? Licences de logiciel Open Source: lesquelles devriez-vous utiliser? Saviez-vous que toutes les licences Open Source ne sont pas identiques? Lire la suite (en fonction de qui est titulaire des droits d'auteur). Mais un idéal fondamental de la plate-forme open source consiste à éviter toute distraction dans la direction du développement. pour de nombreux développeurs, cela signifie éviter les publicités générant des bénéfices pour d'autres entreprises. Cela ne veut pas dire qu'il n'y a pas de développeurs qui utilisent la publicité comme source de revenus.

VideoLAN, cependant, a depuis longtemps précisé que leur produit ne comportera jamais de publicité. Alors imaginez leur surprise lorsqu'un clone Android financé par la publicité brise clairement la VLC GPL (Licence publique générale) de 5 à 10 millions de téléchargements, générant d'énormes profits pour son propriétaire frauduleux..

L'application était disponible sur le Google Play Store, mais pendant une longue période, Google n'a rien fait. Ceci malgré les milliers de personnes rapportant les applications comme un clone et signalant le développeur comme malveillant..

321 Media Player

Il y avait plusieurs clones VLC offensants, dont le pire était 321 Media Player. Bien qu'il s'agisse d'un clone direct contenant des publicités, l'application a obtenu une note de 4,5 sur plus de 100 000 critiques. Un autre clone, Indian VLC Player, a été téléchargé plus de 500 000 fois et a obtenu une note similaire (bien que moins d’examinateurs)..

Tout simplement, 321 Media Player a pris VLC, ajouté une série d’annonces, essayé de la dissimuler en utilisant l’icône Media Players Classics (un autre lecteur multimédia open source pour Windows) et n’a même pas tenté de créditer VideoLAN. S'adressant à Torrent Freak, le président de VideoLAN, Jean Baptiste Kempf, a confirmé que l'application de copie était en infraction avec la VPL GPL..

“La version Android de VLC est sous la licence GPLv3, qui exige que tout le contenu de l'application soit open source et partage le source.,” Kempf dit. “Ce clone semble utiliser un composant publicitaire à source fermée (y en a-t-il qui soient open source?), Ce qui est une violation flagrante de notre droit d'auteur. En outre, ils ne semblent pas partager la source du tout, ce qui constitue également une violation.”

Applications Copycat

L'une des choses les plus surprenantes est le grand nombre de téléchargements générés par l'application copycat. La communauté Android signale généralement rapidement les applications de copie et les applications malveillantes, ce qui permet à Google de savoir qu'il doit être supprimé. Le processus semble s'être arrêté dans ce cas.

Google considérait les «mauvaises applications» comme des applications qui installent des programmes malveillants sur des systèmes d'exploitation ciblés, volent des données, copient des applications légitimes ou contiennent un contenu inapproprié..

- LIFARS (@LIFARSLLC) 2 février 2018

En fait, VideoLAN a déposé une plainte auprès de DMCA “plusieurs fois” mais chaque fois, en raison du processus DMCA et de la politique de Google Play Store, l'application Copycat a pu être réactivée. Mais 321 Media Player n’est que la partie visible de l’iceberg de VLC-copycat. Dans un article sur le subreddit Android, Jean Baptiste Kempf répertorie 21 autres applications copycat financées par la publicité, ainsi qu'une option payante. (Depuis la publication du message, plusieurs des applications copycat ont disparu, mais il en reste beaucoup d'autres.)

Ce n'est pas très beau pour Google et le Google Play Store. Malheureusement, le Google Play Store est en proie à des applications de copie. D'autre part, Google reconnaît qu'il s'agit d'un problème important et s'emploie à lutter contre les vagues de copies..

En 2016, Google a identifié et supprimé 210 000 applications. En 2017, ce nombre était de 700 000, soit une augmentation de 70%. Et sur ces 700 000, quelque 250 000 étaient des applications copycat directes ou légèrement modifiées, “utilisation de caractères Unicode confus ou dissimulation de l'usurpation d'identité d'icônes d'application dans des paramètres régionaux différents,” ou même changer de logos. Et tandis que les applications VLC copycat cherchent à tirer profit des revenus publicitaires, les applications copycat sont intrinsèquement dangereuses..

Il y a plus en jeu que de simples revenus publicitaires. Une application copycat est une source facile de code malveillant. Les utilisateurs non méfiants téléchargent des applications sans vérifier si les détails du développeur, s’il existe “drapeau rouge” commentaires, ou même si les numéros de téléchargement correspondent. Et si un utilisateur sort des pistes et utilise un magasin ou un site Web tiers non vérifié, les chances de se heurter à une application malveillante augmentent encore.

Éviter les applications Copycat

La suite de sécurité Google Play Protect simplifie la tâche. Comment Google Play Protect sécurise-t-il votre appareil Android? Comment Google Play Protect sécurise-t-il votre appareil Android? Vous avez peut-être vu apparaître "Google Play Protect", mais en quoi consiste-t-il? Et comment ça vous aide? En savoir plus pour les utilisateurs d'Android afin de repérer les applications malveillantes L'ouverture fait partie du charme d'Android Android est-il vraiment une source ouverte? Et est-ce même important? Android est-il vraiment une source ouverte? Et est-ce même important? Nous explorons ici si Android est vraiment une source ouverte. Après tout, il est basé sur Linux! En savoir plus, mais aussi ce qui en fait une cible facile pour les fraudeurs et les fournisseurs de logiciels malveillants. Comment les logiciels malveillants parviennent-ils à entrer dans votre smartphone? Comment les logiciels malveillants pénètrent-ils dans votre smartphone? Pourquoi les fournisseurs de logiciels malveillants souhaitent-ils infecter votre smartphone avec une application infectée, et comment les logiciels malveillants parviennent-ils dans une application mobile? Lire la suite . Comme le dit Lukas Stefanko, chercheur sur les logiciels malveillants chez ESET,, “Les pirates cherchent constamment à pénétrer les systèmes de sécurité de [Google].”

Mais pour la plupart, éviter les applications malveillantes requiert la connaissance et la diligence de l'utilisateur. Vérifiez les commentaires des utilisateurs. Faites un renvoi au nombre de téléchargements. Examinez le profil du développeur et vérifiez les autres applications du développeur (par exemple, le compte de développeur officiel de Microsoft Corporation comprend Word, Excel, Outlook, PowerPoint, etc.). Autoriser Google Play Protect à analyser régulièrement vos applications. Et rappelez-vous, si c'est trop beau pour être vrai, c'est probablement le cas; Bien que certaines applications premium apparaissent parfois gratuitement, tout ce qui précède est toujours valable..

Bien sûr, dans le cas de 321 Media Player, l’utilisation de cette liste est un peu délicate. À première vue, l'application dispose d'excellentes critiques, d'un nombre considérable de téléchargements et Google permet son référencement sur le Play Store. Mais à y regarder de plus près, les critiques négatives de l'application Copycat alertaient principalement les utilisateurs non avertis sur le problème (qu'ils s'en fassent ou non, dans la situation spécifique, c'est autre chose). Dans cet esprit, la vigilance est la clé.

Explorer plus sur: Malware, Open Source, Smartphone Security.