Google devrait-il agir plus rapidement pour supprimer les applications malveillantes Copycat?

Publicité

Le logiciel open source est génial. Vous avez le choix parmi des milliers d'applications gratuites, vous donnant le choix de la manière de soutenir les développeurs. Certains demandent un don, d'autres affichent une annonce occasionnelle, etc. L'important est que les développeurs open source reçoivent au moins quelque chose en échange de leur travail.

Il y a aussi des inconvénients au développement open source. Par exemple, n'importe qui peut prendre votre travail, le cloner, modifier des détails subtils et republier comme si c'était le leur.

Que se passe-t-il dans ces cas? Le développeur d'origine peut-il protéger son travail? Le «développeur» frauduleux subira-t-il des conséquences?

Google, VLC et Copycat

VLC est l'un des meilleurs lecteurs multimédias du monde 6 fonctionnalités VLC impressionnantes que vous ne connaissez peut-être pasIl y a une raison pour laquelle VLC est appelé le couteau suisse des lecteurs multimédias. Cet article identifie six fonctionnalités VLC impressionnantes et explique comment les utiliser. Lire la suite

. Aimé par les utilisateurs de bureau et mobiles, VLC est un géant open source. Les téléchargements VLC s'élèvent à un nombre phénoménal de 2 495 411 000. C'est vrai: plus de 2,4 milliards de téléchargements.

VideoLAN, l'équipe de développement derrière VLC, récemment confirmé qu'ils ont refusé des dizaines de millions d'euros pour regrouper la publicité avec leur logiciel.

Publicité dans un l'application open source n'est opposée à aucune licence gratuite Licences de logiciels Open Source: lesquelles devez-vous utiliser?Saviez-vous que toutes les licences open source ne sont pas identiques? Lire la suite (selon qui détient le droit d'auteur). Mais un idéal de base de la plate-forme open source est de maintenir la direction du développement exempte de distraction; pour de nombreux développeurs, cela signifie éviter les publicités qui génèrent des bénéfices pour d'autres entreprises. Cela ne veut pas dire qu'il n'y a pas de développeurs qui utilisent la publicité comme source de revenus.

VideoLAN, cependant, a clairement indiqué depuis longtemps que leur produit ne comportera jamais de publicité. Imaginez donc leur surprise lorsqu'un clone Android financé par la publicité qui casse clairement la VLC GPL (General Public Licence) a grimpé entre cinq et dix millions de téléchargements, générant d'énormes profits pour son propriétaire frauduleux dans le processus.

L'application était disponible sur le Google Play Store, mais pendant une longue période, Google n'a rien fait. Ceci, malgré des milliers de personnes signalant les applications comme un clone et signalant le développeur comme malveillant.

321 Media Player

Il y avait plusieurs clones VLC incriminés, dont le pire était 321 Media Player. Bien qu'elle soit un clone direct avec des publicités, l'application a obtenu une note de 4,5 sur plus de 100 000 avis. Un deuxième clone, Indian VLC Player, a enregistré plus de 500 000 téléchargements et une cote similaire (bien que moins de critiques).

Tout simplement 321 Media Player a pris VLC, a ajouté un tas de publicités, a essayé de le couvrir en utilisant les médias Icône Players Classics (un autre lecteur multimédia open source pour Windows), et n'a même pas tenté de créditer VideoLAN. Entretien avec Torrent Freak, le président de VideoLAN, Jean Baptiste Kempf confirmé l'application copycat enfreint la VLC GPL.

«La version Android de VLC est sous la licence GPLv3, qui exige que tout ce qui se trouve à l'intérieur de l'application soit open source et partage la source», explique Kempf. «Ce clone semble utiliser un composant publicitaire de source fermée (y en a-t-il qui sont open source?), Ce qui est une violation claire de notre copyleft. De plus, ils ne semblent pas partager la source du tout, ce qui est également une violation. »

Copycat Apps

L'une des choses les plus surprenantes est le grand nombre de téléchargements que l'application copycat a amassés. La communauté Android signale généralement les applications de copie et malveillantes rapidement, permettant à Google de savoir qu'elles doivent être supprimées. Le processus semble avoir été bloqué dans ce cas.

Google considère que les «mauvaises applications» sont celles qui installent des logiciels malveillants sur des systèmes d'exploitation ciblés, volent des données, copient des applications légitimes ou contiennent du contenu inapproprié.

- VIE (@LIFARSLLC) 2 février 2018

En fait, VideoLAN a déposé des plaintes DMCA «plusieurs fois» mais à chaque fois - en raison du processus DMCA et de la politique de Google Play Store - l'application copycat a pu se réactiver. Mais 321 Media Player n'est que la pointe de l'iceberg VLC-copycat. Dans un publier sur le subreddit Android, Jean Baptiste Kempf répertorie 21 autres applications de copie prises en charge par la publicité, ainsi qu'une option payante. (Depuis la publication de la publication, plusieurs des applications de copie ont disparu, mais beaucoup d'autres restent.)

Ce n'est pas un super look pour Google et le Google Play Store. Malheureusement, le Google Play Store regorge d'applications de copie. D'un autre côté, Google le reconnaît comme un problème important et s'efforce de lutter contre les vagues de copieurs.

En 2016, Google a identifié et supprimé 210 000 applications. En 2017, ce nombre était de 700 000, une augmentation de 70%. Et sur ces 700 000, environ 250 000 étaient des applications de copie directes ou légèrement modifiées, «en utilisant Caractères Unicode ou masquage d'icônes d'emprunt d'identité dans un environnement local différent ", ou même changement logos. Et tandis que les applications VLC copycat cherchent à tirer profit des revenus publicitaires, les applications copycat sont intrinsèquement dangereuses.

L'enjeu est plus que de simples revenus publicitaires. Une application de copie est une source facile de code malveillant. Les utilisateurs sans méfiance téléchargent des applications sans vérifier si les détails du développeur, s'il y a des avis de «drapeau rouge», ou même si les numéros de téléchargement correspondent. Et si un utilisateur sort des pistes et utilise une boutique ou un site Web tiers non vérifié, les chances de tomber sur une application malveillante augmentent encore.

Éviter les applications Copycat

La suite de sécurité Google Play Protect facilite les choses Comment Google Play Protect rend votre appareil Android plus sécuriséVous avez peut-être vu apparaître "Google Play Protect", mais qu'est-ce que c'est exactement? Et comment cela vous aide-t-il? Lire la suite pour les utilisateurs Android de repérer les applications malveillantes. L'ouverture fait partie de l'attrait d'Android Android est-il vraiment open source? Et est-ce même important?Ici, nous explorons si Android est vraiment open source ou non. Après tout, il est basé sur Linux! Lire la suite , mais aussi quoi en fait une cible facile pour les fraudeurs et les fournisseurs de logiciels malveillants Comment les logiciels malveillants pénètrent-ils dans votre smartphone?Pourquoi les fournisseurs de logiciels malveillants veulent-ils infecter votre smartphone avec une application infectée, et comment les logiciels malveillants entrent-ils en premier lieu dans une application mobile? Lire la suite . Comme le dit le chercheur de logiciels malveillants ESET Lukas Stefanko, «les attaquants tentent constamment de pénétrer les systèmes de sécurité [de Google]».

Mais pour la plupart, éviter les applications malveillantes nécessite la connaissance et la diligence des utilisateurs. Vérifiez les avis des utilisateurs. Croisez le nombre de téléchargements. Examinez le profil de développeur et vérifiez les autres applications du développeur (par exemple, le compte de développeur officiel de Microsoft Corporation propose Word, Excel, Outlook, PowerPoint, etc.). Autorisez Google Play Protect à analyser régulièrement vos applications. Et rappelez-vous, si c'est trop beau pour être vrai, c'est probablement le cas; Bien que certaines applications premium apparaissent occasionnellement gratuitement, tout ce qui précède est toujours vrai.

Bien sûr, dans le cas de 321 Media Player, l'utilisation de cette liste est légèrement délicate. À première vue, l'application a d'excellentes critiques, un grand nombre de téléchargements et Google autorise l'inscription sur le Play Store. Mais en y regardant de plus près, les critiques négatives de l'application copycat ont principalement alerté les utilisateurs sans méfiance sur le problème (qu'ils s'en soucient ou non, dans la situation spécifique, c'est autre chose). Dans cet esprit, la vigilance est la clé.