L’un des inconvénients de l’absence de procédure d’approbation des demandes dans la boutique en ligne Android est qu’un programme malveillant exploitant une faille spécifique devient disponible et vole les données des victimes qui choisissent de l’installer. Avec le Android 4.0, annoncé ce mois-ci avec le Galaxy Nexus, cette tactique utilisée par les hackers pourrait perdre de son efficacité. Dans la nouvelle version du système mobile de Google, la société a décidé d’inclure quelque chose que Microsoft et Apple mettent déjà en œuvre dans leurs systèmes : le ASLR.
En plus de la mise en œuvre de l’ASLR, Google a également mis à disposition une nouvelle API de porte-clés ainsi qu’une méthode de stockage sécurisé. Ainsi, les développeurs pourront recevoir et lire les clés de cryptage et stocker les certificats correspondants en toute sécurité dans les appareils Android.
Cette méthode n’est pas nouvelle : non seulement elle est déjà mise en œuvre à partir de Windows Vista et Mac OS, mais elle est également présente dans iOS. Je ne comprends donc pas vraiment pourquoi Google a mis autant de temps à le mettre en place. Peut-être à cause de la difficulté de programmer de telles méthodes dans le code Android ? J’accepte les théories dans les commentaires.
