Les fichiers APK sont-ils sûrs ? Huawei parle de sécurité, de protection et plus encore

Hibou Gourou

La plupart d'entre nous téléchargerons une application depuis Google Play ou l'App Store iOS sans arrière-pensée, convaincus que les sociétés géantes derrière les magasins nous protègent des dommages numériques. Si vous possédez un téléphone Huawei récent, vous devez vous fier à l'AppGallery pour vos besoins en matière d'application, et lorsqu'une application n'est pas disponible, elle vous oriente vers l'installation d'un fichier APK à partir d'une source non officielle.

Mais ces fichiers sont-ils également sûrs, et que fait Huawei pour s'assurer que vous ne courez aucun risque contre les logiciels malveillants, les virus et le vol de données ? Digital Trends s'est entretenu avec le Dr Jaime Gonzalo, vice-président de Huawei Mobile Services Europe, et Fernando Garcia Calvo, directeur de Huawei Petal Search Europe, pour le savoir.

Qu'est-ce qu'un APK ?

Avant d'aller beaucoup plus loin, parlons des fichiers APK. APK signifie "Android Package Kit", et c'est le format de fichier utilisé pour installer des applications sur Android. Considérez-le comme un peu comme un fichier .exe pour Windows ou un fichier .dmg pour MacOS. Normalement, du moins si vous utilisez Google Play, vous n'aurez jamais à gérer un fichier APK.

Installation d'un fichier APK sur un téléphone Huawei.

Cependant, toute personne possédant un téléphone Android peut télécharger et installer des applications à l'aide de fichiers APK, une pratique souvent appelée "chargement latéral ". Ces fichiers sont généralement distribués via des référentiels tiers, bien que certaines entreprises vous permettent également de télécharger directement les fichiers APK officiels. Huawei a perdu l'accès au Google Play Store en 2019 et a depuis utilisé son application Petal Search pour pousser les propriétaires vers les fichiers APK afin d'obtenir les applications manquantes dans sa propre boutique.

Comme il s'agit simplement d'un format de fichier, le téléchargement et l'installation d'APK ne posent aucun problème juridique. Mais cela ne pardonne pas les violations du droit d'auteur ou la violation des termes et conditions de l'application contenue dans le fichier APK.

OK – mais est-ce sûr?

En raison de la manière dont les fichiers APK sont distribués et installés sur un téléphone, il y a un peu plus de chances que l'application présente un risque de sécurité que lorsque vous utilisez une boutique officielle. Sur la plupart des téléphones Android, le chargement latéral d'une application contourne les protections offertes par Google Play, et il est possible qu'un APK ait été modifié pour inclure des logiciels malveillants avant l'installation sur votre téléphone.

Cela met toute personne possédant un téléphone Huawei récent dans une position difficile. Pourquoi? La recherche de pétales de Huawei vous mènera aux référentiels APK lorsque vous recherchez une application non disponible dans l'AppGallery. Cela se produit si vous voulez Twitter, Instagram, Netflix, VSCO, Waze, Microsoft Teams, l'application Fitbit, Duolingo et de nombreuses autres applications courantes et souvent utilisées. Petal Search recommande les fichiers APK de sites comme APKPure, APKMonk, AppParks et Uptodown.

Nous voulions comprendre ce que faisait Huawei pour vous protéger contre les dommages lors de l'utilisation de ces sites et des APK qu'ils fournissent. Le Dr Jaime Gonzalo a déclaré que Petal Search ne regarde que les sites accessibles au public, pas ceux cachés de Google ou d'autres moteurs de recherche, et qu'il ne fait référence qu'aux sites qu'il considère légitimes. Par exemple, le site doit être une société enregistrée en Europe ou aux États-Unis, mais Huawei va au-delà, comme l'a expliqué Gonzalo.

Comment Huawei examine les téléchargements d'APK

"Tout d'abord, nous nous assurons que la source est digne de confiance et effectuons une vérification quotidienne de tous les résultats, et nous vérifions la sécurité et la compatibilité de l'appareil", a expliqué Gonzalo, indiquant les efforts de haut niveau de Huawei pour vérifier la crédibilité des liens du site Petal Search. à. "Deuxièmement, lorsque l'application est installée, le canal est crypté, de sorte que tous les messages envoyés en dehors du processus seront bloqués. Et troisièmement, nous avons un processus anti-virus et anti-malware en temps réel, ce qui signifie que lors d'une utilisation régulière [des sites APK], vous serez protégé.

Installation de fichiers APK sur un smartphone Huawei.

Lorsque vous recherchez des applications, le système de Huawei donne d'abord la priorité à la galerie d'applications. Mais si l'application n'est pas là, elle cherchera des sources officielles. Si ce n'est pas dans l'un ou l'autre, la recherche inclut des sources tierces.

"Nous examinons la popularité du site et de l'application pour évaluer la crédibilité, et nous nous assurons que la page dispose de la dernière version de l'application disponible, car elle contient généralement les derniers correctifs de sécurité. À la fin du processus, nous effectuons une vérification interne pour rechercher des logiciels malveillants. »

Tout cela se passe avant l'installation de l'application – alors que se passe-t-il ensuite ?

"Sur l'appareil lui-même pendant le téléchargement, l'intégrité de l'application est vérifiée afin qu'elle ne décompile pas ou n'installe pas un autre APK en parallèle, et le nom de l'application est vérifié. Vient ensuite la protection contre les logiciels malveillants et les virus, puis notre propre protection de sécurité IA. Cela permet à l'application de faire quoi que ce soit d'inattendu, comme essayer d'accéder à quelque chose qu'elle ne devrait pas faire. Si l'IA le détecte, elle bloquera l'installation. Après tout cela, s'il n'y a pas de menaces, l'application peut être installée.

Gonzalo a déclaré : "Nous pouvons dire que le risque de sécurité est faible", concernant l'installation des fichiers APK. Fernando Garcia Calvo a ajouté à cette confiance, révélant que depuis que Huawei a perdu l'accès à Google Play en 2019, 830 millions d'applications ont été téléchargées à l'aide du système Petal Search et plus de la moitié ne provenaient pas de l'AppGallery. Pendant ce temps, aucune réclamation de droit d'auteur n'a été faite à son encontre, il n'y a eu aucune plainte de développeur contre le système, et aucune plainte officielle d'utilisateur concernant des logiciels malveillants ou la perte de données due à un virus non plus.

Tous les APK ne sont pas créés égaux

Huawei semble certainement faire beaucoup pour vous protéger, votre téléphone et vos données personnelles. Mais il ne recommande pas de télécharger les fichiers APK dans tous les cas. Prenons l'exemple des applications bancaires. Calvo a déclaré que Huawei avait eu des conversations avec des banques au sujet des applications.

Liens menant aux services bancaires en ligne, et non aux fichiers APK, sur un téléphone Huawei.

"Nous les encourageons [les banques] à télécharger des applications sur App Gallery", a-t-il déclaré. "Au début, nous étions réticents à afficher les fichiers APK des applications bancaires dans Petal Search, mais nous avons réalisé que les gens voulaient les trouver de toute façon et sans notre sécurité. Pour cette raison, les liens dans Petal Search pour les applications bancaires vont vers la version Web des banques et non vers un APK.

Huawei n'a aucune relation commerciale avec les référentiels APK, mais Gonzalo a déclaré qu'il considérait l'utilisation des référentiels APK comme "acceptée et sûre, compte tenu du temps que [les sites] ont été opérationnels". Nous avons contacté APKPure, qui est l'une des principales recommandations de Huawei dans Petal Search, pour commenter cette histoire. Cependant, la société n'a pas répondu à nos e-mails.

Les avertissements de Huawei brossent un tableau clair

De toute évidence, Huawei souhaite que vous obteniez les applications que vous souhaitez sur votre téléphone, et bien qu'il s'efforce de vous protéger lorsque vous utilisez des sites APK tiers, l'expérience sur le téléphone lui-même peut toujours vous inquiéter.

Un avertissement concernant l'installation de fichiers APK sur un téléphone Huawei. Un avertissement concernant l'installation de fichiers APK sur un téléphone Huawei.

« Le téléchargement d'applications à partir de sources externes peut exposer vos appareils et vos données personnelles à un plus grand risque. En touchant Autoriser, vous indiquez que vous acceptez ces risques. »

"Les applications répertoriées ci-dessous, y compris le contenu et les pages liés, sont des résultats de recherche Internet générés automatiquement en fonction des mots clés que vous avez saisis. AppGallery affiche uniquement ces résultats de recherche et n'est pas responsable de leur contenu.

Ce ne sont là que deux des avertissements que vous recevez lorsque vous téléchargez une application non-App Gallery, supprimant effectivement Huawei de toute obligation légale en cas de problème. De plus, malgré les promesses de liens vers des sources officielles avant des sources tierces, Petal Search m'a toujours poussé vers AppParks pour WhatsApp et Facebook avant la source officielle du site Web.

Méfiez-vous du téléchargeur

Que pensent les personnes travaillant dans le domaine de la sécurité ou du développement d'applications des fichiers APK ? Le professeur adjoint Cori Faklaris , qui étudie la sécurité utilisable à l'Université de Caroline du Nord, a déclaré à Digital Trends dans un message Twitter que le téléchargement de fichiers APK, ou le chargement latéral en général, est une situation de "téléchargeur méfiez-vous". Laissant de côté les fichiers APK provenant de sources fiables, elle a déclaré :

"Si vous pensez pouvoir gérer une infection par un logiciel malveillant ou analyser vous-même l'application pour détecter les vulnérabilités de sécurité, et que l'appareil mobile vous appartient et ne sera utilisé que sur un réseau privé, je dirais qu'il faut y aller. Mais je ne téléchargerais pas d'APK sur des téléphones qui se connectent à des réseaux publics ou à des réseaux sécurisés institutionnels comme des entreprises ou des écoles. Ensuite, vous ne mettez pas seulement vos données en danger, mais celles de toute personne potentiellement exposée à un piratage via la connexion de votre application téléphonique au réseau.

Et les développeurs ? Le développeur d'applications Roscoe Juckett a déclaré à Digital Trends via un message Twitter que même s'il n'avait aucun problème à publier une application sur des sites comme APKPure, il avait toujours des inquiétudes :

"Mon inquiétude est que les gens vont le télécharger, l'infecter et le republier", faisant référence au problème de la gestion des mises à jour pour résoudre les problèmes en dehors d'un magasin officiel. Peut-être révélateur, a-t-il ajouté. "Je déploie toutes les applications de mes clients sur Google Play, aucune ne m'a demandé de les déployer ailleurs."

Bien que les scandales concernant les référentiels APK ne soient pas si courants, ils se produisent. En avril 2021, Kaspersky a couvert une infection par un cheval de Troie dans la propre application mobile d'APKPure , qui provenait d'un SDK publicitaire malveillant. Bien que préoccupantes, les applications téléchargées à partir de sources officielles ont également contenu des publicités malveillantes et d'autres formes de logiciels malveillants dans le passé , ce n'est donc pas un problème propre à un référentiel APK.

Sécurité non assurée

Le fait que des logiciels malveillants aient été trouvés dans les applications téléchargées depuis Google Play montre que les applications, en général, peuvent présenter des risques pour la sécurité , quel que soit l'endroit d'où elles sont téléchargées. Les propriétaires de téléphones Huawei téléchargeant des fichiers APK pour les applications sont sans doute un peu moins protégés que quiconque utilisant Google Play, mais Huawei a fait un effort pour sécuriser le téléchargement et l'installation. Cependant, il n'a aucun contrôle sur les applications ou les sites tiers, et comme le montrent ses avertissements dans la galerie d'applications, l'entreprise n'assume aucune responsabilité pour les problèmes liés à l'utilisation de ces applications.

Où cela vous mène-t-il ? Il y a une certaine tranquillité d'esprit qui vient du fait que Huawei partage ses pratiques de sécurité et de sécurité, mais ses avertissements dans la galerie d'applications et Petal Search soulignent que vous êtes très seul ici. Si vous êtes inquiet, vous devriez peut-être utiliser le traitement des applications bancaires par Huawei comme baromètre. Si vous considérez les informations stockées ou saisies dans une application comme sensibles ou si vous les utilisez pour le travail, l'utilisation d'une version provenant d'un référentiel non officiel peut ne pas être recommandée.