Google a annoncé une nouvelle restriction de confidentialité pour les applications du Play Store. À partir de cet été, la nouvelle autorisation Query_All_Packages d’Android 11 sera signalée comme « sensible » sur le Play Store, ce qui signifie que le processus d’examen de Google la limitera aux applications qui, selon la société, en ont vraiment besoin.
Query_All_Packages permet à une application de lire l’ensemble de votre liste d’applications, qui peut contenir toutes sortes d’informations sensibles, comme vos préférences en matière de rencontres, vos informations bancaires, la gestion de votre mot de passe, votre affiliation politique, etc.
Pour en savoir plus
Google sévit contre les applications Android de géolocalisation
Sur une page d’assistance, Google annonce : « Les apps dont l’objectif principal est de lancer, de rechercher ou d’interagir avec d’autres apps sur l’appareil peuvent obtenir une visibilité adaptée à la portée des autres apps installées sur l’appareil. »
Google propose une autre page qui énumère les cas d’utilisation autorisés pour les apps du Play Store qui interrogent votre liste d’apps, notamment « la recherche sur l’appareil, les apps antivirus, les gestionnaires de fichiers et les navigateurs. »
La page ajoute que « les applications qui doivent découvrir toutes les applications installées sur l’appareil, à des fins de sensibilisation ou d’interopérabilité, peuvent avoir droit à cette autorisation. » Pour les apps qui doivent interagir avec d’autres apps, Google souhaite que les développeurs utilisent des API de découverte d’apps plus étendues (par exemple, toutes les apps qui prennent en charge la fonctionnalité x) au lieu de simplement extraire la liste complète des apps.
Il y a également une exception pour les applications financières comme les applications bancaires et les portefeuilles P2P, qui, selon la page, « peuvent obtenir une large visibilité des applications installées uniquement à des fins de sécurité. »
Nous supposons que cela signifie l’analyse des applications racine. La nouvelle politique stipule également que » les données d’inventaire interrogées à partir des applications distribuées par Play ne peuvent jamais être vendues ou partagées à des fins d’analyse ou de monétisation des publicités « .
Notre magasin, nos règles
L’utilisation du Play Store comme surface de contrôle pour les développeurs est une tactique relativement nouvelle pour Google. Bien sûr, Google a un contrôle total sur le système d’exploitation et peut utiliser ce contrôle pour imposer des restrictions de confidentialité à toutes les applications, mais lorsque vous voulez seulement affecter certaines applications, l’imposition d’une restriction d’examen des applications sur le Play Store donne à Google un contrôle plus fin sur les politiques d’utilisation des autorisations.
Le Play Store est le seul magasin d’applications Android universel (à l’exception de la Chine) et le principal endroit où la plupart des gens obtiennent des applications. Les règles du Play Store permettent donc à Google d’ériger des murs plus épais autour de son jardin clos tout en donnant aux développeurs la possibilité de défendre leurs cas d’utilisation individuels.
Si les utilisateurs finaux n’apprécient pas les règles, ils disposent d’une porte de sortie pour le sideloading et les magasins d’applications alternatifs, ce qui n’est pas le cas avec une restriction de permission basée sur le système d’exploitation.
Outre cette restriction de la liste des paquets d’applications, le Play Store signale également plusieurs autres API comme « sensibles », les soumettant à un examen plus approfondi et demandant aux développeurs individuels de justifier leur utilisation.
Les applications utilisant les puissantes API d’accessibilité, les API de localisation en arrière-plan, les applications SMS et téléphoniques et les API d’accès complet aux fichiers sont toutes soumises à l’approbation individuelle de Google.
Quelles sont les autres restrictions ?
Parmi les autres restrictions actuelles du Play Store, citons une politique de niveau d’API minimum évolutif selon laquelle les nouvelles applications et les mises à jour ne peuvent utiliser un niveau d’API datant de plus d’un an. Les niveaux d’API sont le principal moyen pour Android de gérer la rétrocompatibilité.
Les nouvelles restrictions et fonctionnalités de chaque version d’Android ne s’appliquent généralement qu’aux applications ciblant ce niveau d’API, de sorte que rien n’est cassé. Par exemple, le système de permissions ne s’applique qu’aux applications ciblant le niveau d’API 23 (Android 6.0) et plus – les applications plus anciennes n’ont aucune restriction de permission.
En cas d’utilisation malveillante, il est possible de cibler un ancien niveau d’API pour proposer une application ayant un accès plus large au système, mais la politique du Play Store qui consiste à bloquer toute soumission sur les anciens niveaux d’API empêche cela.
La restriction d’aujourd’hui en est un excellent exemple : la permission Query_All_Packages a été ajoutée dans Android 11, elle ne s’applique donc qu’aux applications ciblant le niveau d’API d’Android 11, qui est « API Level 30 ».
Les restrictions du Play Store, naturellement, ne s’appliquent également qu’aux applications ciblant le niveau API 30 et plus, ce qui ne représente probablement pas beaucoup d’applications à l’heure actuelle. Cependant, peu après qu’Android 11 aura un an (en novembre 2021), le Play Store fera du niveau 30 de l’API le niveau minimum pour la mise à jour des applications, de sorte que la permission et les nouvelles restrictions s’appliqueront à toutes les applications actuellement gérées dans le magasin.