Android 17 permettra aux utilisateurs de vérifier si leur système d'exploitation est authentique

Google s'apprête à intégrer une nouvelle fonctionnalité de vérification du système d'exploitation Android à Android 17. Cette fonctionnalité permettra aux utilisateurs de déterminer si leur système d'exploitation est une version authentique d'Android.

L'entreprise indique avoir constaté la diffusion par des pirates de fausses versions d'Android contenant des logiciels malveillants, des logiciels espions ou des protections de sécurité altérées.

Le système de vérification d'Android 17 contrôle si un appareil exécute une version officielle d'Android approuvée par Google.

Cette fonctionnalité sera initialement déployée sur les appareils Pixel, accompagnée d'un nouveau registre public de transparence. Ce registre permettra aux utilisateurs de vérifier la légitimité des applications Google Android.

Points clés :

• Android 17 introduit une nouvelle fonctionnalité de vérification du système d'exploitation pour authentifier les versions d'Android.
• Ce système aide les utilisateurs à identifier les systèmes d'exploitation Android modifiés et distribués par des cybercriminels.
• La vérification du système d'exploitation Android contrôle l'état de Play Protect, l'intégrité du chargeur de démarrage et la légitimité de la version.
• Google précise que cette fonctionnalité ne cible pas les ROM personnalisées telles que GrapheneOS.
• Android 17 introduit également un registre public de transparence cryptographique pour vérifier les applications Google officielles.
• Cette fonctionnalité sera d'abord déployée sur les appareils Pixel.

Qu'est-ce que la vérification du système d'exploitation Android ?

La vérification du système d'exploitation Android est une nouvelle fonctionnalité de sécurité d'Android 17 conçue pour confirmer qu'un smartphone exécute bien un système d'exploitation Android officiel approuvé par Google.

Cette fonctionnalité aide les utilisateurs à identifier les versions Android potentiellement dangereuses qui pourraient avoir été modifiées par des pirates. Selon Google, les acteurs malveillants distribuent de faux systèmes d'exploitation Android qui semblent authentiques tout en compromettant secrètement les protections de sécurité.

Ces versions non officielles d'Android peuvent dissimuler des logiciels malveillants, désactiver des fonctions de sécurité, intercepter les communications, surveiller l'activité de l'utilisateur, manipuler les autorisations des applications ou héberger des logiciels espions au niveau du système.

Google indique que la vérification du système d'exploitation Android permet aux utilisateurs de confirmer non seulement que leur système est légitime, mais aussi que le chargeur de démarrage de l'appareil est resté sécurisé et que les applications Google installées sont bien les applications officielles.

Fonctionnement de la vérification du système d'exploitation Android

Selon les spécifications publiées par Google, le système vérifie le statut d'approbation de Play Protect, le numéro de build, l'état du chargeur de démarrage et le statut de vérification de l'appareil.

L'interface propose également une option permettant aux utilisateurs de vérifier l'appareil avec un autre appareil Android. Le système de vérification est initialement déployé sur les appareils Pixel fonctionnant sous Android 17.

La vérification du système d'exploitation Android a-t-elle un impact sur les ROM personnalisées ?

Cette annonce a initialement suscité des inquiétudes au sein de la communauté Android, certains utilisateurs craignant que cette fonctionnalité ne restreigne l'utilisation des ROM personnalisées ou des forks d'Android.

Dans une déclaration à AndroidAuthority, Google a précisé que la vérification du système d'exploitation Android ne cible pas les communautés de développeurs de ROM personnalisées.

« Cette fonctionnalité offre une transparence accrue aux utilisateurs d'appareils sous licence Google Mobile Services et ne s'applique pas aux ROM personnalisées ni aux forks. Par ailleurs, les développeurs utilisent l'API Play Integrity ou l'attestation de clé pour garantir la transparence des appareils et prendre des décisions concernant leur fiabilité. Notre objectif est d'offrir aux utilisateurs d'appareils sous licence une visibilité complète sur le système d'exploitation sans restreindre la communauté des développeurs Android.

Explication du nouveau registre de transparence de Google

Parallèlement à la vérification du système d'exploitation, Google a annoncé un nouveau registre public, alimenté uniquement par ajout, qui sert de mécanisme de transparence. Il permet à chacun de vérifier si :

• Les applications Google Android sont légitimes
• Les API Google principales sont authentiques
• Les applications ont été officiellement publiées par Google

Google décrit ce système comme une « source de vérité » publique.

« Si une application signée par Google ne figure pas sur ce registre, c'est que nous n'avions pas l'intention de la publier. Pour les utilisateurs de Pixel, cela fonctionne avec notre service de transparence des images système Pixel existant afin de prouver que le système lui-même et les applications qui y sont exécutées sont des logiciels de production officiels. »