Accueil Google Google sur l’atténuation des logiciels malveillants Android d’App Defense Alliance

Google sur l’atténuation des logiciels malveillants Android d’App Defense Alliance

Par

avril 22, 2023

Google a annoncé il y a trois ans l’App Defense Alliance (ADA) pour « arrêter les mauvaises applications avant qu’elles n’atteignent les appareils des utilisateurs », et a récapitulé aujourd’hui son travail en 2022.

Atténuation des logiciels malveillants avant qu’une application ne soit publiée sur Google Play est l’objectif principal de l’ADA :

Grâce à ce programme, les systèmes de détection Google Play Protect communiquent directement avec les moteurs d’analyse de chaque partenaire. Cela génère de nouvelles informations sur les risques liés aux applications, car les applications sont mises en file d’attente pour être publiées. Les partenaires analysent cet ensemble de données et agissent comme un regard vital supplémentaire avant qu’une application ne soit mise en ligne sur le Play Store.

Des milliers d’applications sont analysées quotidiennement avec une « communication bidirectionnelle sécurisée » entre Google et des tiers. ESET, Lookout et Zimperium étaient les premiers partenaires, McAfee et Trend Micro se joignant en 2022.

Une autre initiative de l’App Defense Alliance qui est désormais largement disponible après son lancement en version bêta cette année est la Évaluation de la sécurité des applications mobiles (MASA) où les développeurs « font valider indépendamment leurs applications par rapport à la norme de vérification de la sécurité des applications mobiles (MASVS standard) dans le cadre du projet OWASP Mobile Application Security.

La mission du projet est de « Définir la norme de l’industrie pour la sécurité des applications mobiles » et a été utilisé par les organisations des secteurs public et privé comme une forme de meilleures pratiques de l’industrie en matière de sécurité des applications mobiles.

Ce travail est effectué par ADA Authorized Labs avec un public, face à l’utilisateur Répertoire de validation des applications qui note la « date de validation, le laboratoire de test et un rapport indiquant toutes les étapes / exigences du test ». Cela apparaît sous la forme du badge « Examen de sécurité indépendant » dans la section Sécurité des données d’une application dans le Play Store. Diverses applications Google ont subi cela, tandis que les applications tierces incluent Roblox, Uber et PayPal.

En moyenne, les développeurs ont terminé la validation en un mois et résolu deux problèmes en suspens identifiés par un laboratoire de sécurité.

Enfin, le Cloud App Security Assessment (CASA) se concentre sur le backend serveur des applications :

Le cadre CASA fournit plusieurs niveaux d’assurance dans lesquels les applications cloud à faible risque peuvent être évaluées à l’aide d’une auto-évaluation ou d’une analyse automatisée. Pour les applications qui présentent un risque plus élevé (telles qu’une base d’utilisateurs importante, une faille de sécurité récente ou le traitement de données hautement sensibles), un laboratoire agréé peut effectuer une évaluation.