Google en guerre contre les faux avis Depuis quelques années déjà, Google prend un soin tout particulier à épurer sa boutique Android Play Store.
https://www.presse-citron.net/google-guerre-contre-faux-avis-play-store-android/amp/
!
Les dégâts étaient déjà importants à ce moment-là d’un point de vue de la confiance, mais le chercheur a continué plus avant son travail.
Si quelques applications frauduleuses parviennent encore et toujours à passer à travers les mailles du filet, le constat est globalement très positif aujourd’hui, à mille lieues de ce qu’était le Play Store il y a encore quelques années…
Toutefois, depuis quelques semaines, Google s’est attaqué à un autre fléau : les faux avis (ou fake reviews comme on dit là-bas).
Résultat ? 18 autres applications basées sur le même fonctionnement ont été identifiées.
9 destinées aux enfants avec du coloriage, 9 autres, clairement destinées aux adultes permettant d’obtenir des prêts bancaires.
Dans ce dernier cas, le créateur a poussé le vice un peu plus loin. Pour augmenter les chances d’avoir un prêt, il fallait partager l’application sur Whatsapp et donner 5 étoiles sur le Play Store.
Toutefois, certains développeurs peu scrupuleux n’hésite pas à générer de faux avis, ainsi que des évaluations fictives.
Une pratique loin d’être artisanale, puisque l’on peut littéralement « acheter » des avis, comme on achète des followers sur Twitter ou Instagram…
Google annonce également vouloir sévir contre les applications qui récompensent les utilisateurs invités à laisser une note ou un commentaire, en échange d’items ou de bonus au sein même de l’application.
Ainsi, via un billet de blog officiel, Google annonce avoir déjà procédé à la suppressions de « millions d’avis et commentaires frauduleux« .
Google annonce également avoir identifié des centaines d’applications, suspectées de détourner le système de commentaires et de notes.
Afin de détecter les développeurs frauduleux, Google fait appel au machine learning, mais aussi à cette bonne vieille intelligence humaine.
Un travail titanesque pour Google, qui compte bien proposer un Play Store totalement sain un jour.
Après les applications néfastes, Google entreprend de chasser définitivement de son Play Store, tous les avis et autres commentaires frauduleux.
En effet, comme c’est le cas sur un site de vente en ligne ou un comparateur online, les applications présentes dans le Play Store peuvent être notées par les utilisateurs.
Evidemment, celui qui recherche une application pour son smartphone aura tout naturellement le réflexe de se diriger vers une application recueillant de nombreux avis positifs.
Ces dernières sont d’ailleurs davantage mises en avant par l’algorithme de Google.
APPLICATIONS Google (enfin !) en guerre contre les faux avis du Play Store Android
13 applications touchées sur le Play Store
C’est une sorte d’accord de confiance (Darty a déjà copyrighté le Contrat de Confiance) qui est rompu. Jusque-là, on pensait être à l’abri sur le Play Store. Plus ou moins.
Disons que l’idée était, n’installez pas d’applications en dehors du Play Store et vous aurez beaucoup moins de risques d’avoir un souci.
Les révélations de Lukas Stefanko, chercheur en sécurité chez Eset ont tendance à mettre à mal cette argumentation.
En effet, il a identifié que des applications malveillantes sont distribuées sur le service d’application officiel d’Android.
Selon son évaluation, il s’agit de 13 applications. Pas grand chose ? Oui sauf que l’on parle tout de même de plus de 560 000 installations. Dont certaines en trending.
Ces 13 applications étaient des simulateurs de courses automobiles. A chaque fois, le même modus operandi.
Une fois installées, elles disparaissent pour organiser dans le même temps le téléchargement de nouvelles applications qui diffusent de la publicité sur votre smartphone.
Windows 10 est encore dans le viseur de Google Zero. Le projet qui avait déjà révélé une première faille du navigateur Edge avant que Microsoft n’ait pu la patcher vient de révéler, dans les mêmes conditions, une nouvelle grosse vulnérabilité.
Celle-ci permet une élévation des privilèges, permettant à une personne mal intentionnée d’obtenir des droits administrateurs avec un compte classique.
La vulnérabilité implique un accès physique à la machine, ce qui a conduit les équipes de Microsoft à marquer la résolution du problème comme « importante » mais pas « critique ».
Google Project Zero vient de révéler une nouvelle faille de Windows 10 sans que Microsoft n’ait eu le temps de la patcher.
Les chercheur en sécurité en sont à leur deuxième faille zero-day non patchée en moins d’une semaine. Il y a quelques jours, en effet, ils révélaient une grosse faille de sécurité dans Microsoft Edge.
La faille permettait à toute personne mal intentionnée d’exécuter du code arbitraire à partir d’une page web ; rendant possible la prise de contrôle total de l’ordinateur.
Pour ces deux failles, Google Zero a respecté un délai de 90 jours entre le moment où les équipes de Microsoft ont été prévenues et leur résolution.
Windows 10 : Google Project Zero révèle une deuxième faille zero-day en moins d’une semaine.
Dans les deux cas cela n’a pas suffi à Microsoft pour s’organiser.
La faille dans Edge est en fait liée à un problème de conception, et nécessite « un travail significatif » selon la firme qui pense néanmoins pouvoir adresser un correctif lors du patch tuesday de mars.
La nouvelle vulnérabilité permet de son côté une élévation des privilèges – pour simplifier cela permet d’obtenir des droits administrateur sur une machine depuis un compte limité.
Dans le détail, il s’agit d’un bug dans l’appel de procédure distant.
Svc Move File Inherit Security qui permet de changer les permissions des fichiers pour les rendre accessible à tous les comptes de la machine.
La faille était censée être corrigée, mais Google a démontré, code à l’appui, qu’il était encore possible de créer un fichier accessible à tous les comptes dans le répertoire Windows depuis un compte aux permissions pourtant limitées.
Cette nouvelle faille qui requiert un accès physique à la machine, n’est pas considérée comme critique par Microsoft.
Du reste, elle est désormais bien documentée, et il ne semble pas vraiment possible de se protéger en attendant le correctif.
Google Project Zero a déjà mis plusieurs fois Microsoft à l’amende en révélant des failles de sécurité.
En fait selon une source citée par The Verge, les failles de Windows sont la raison d’être de Google Project Zero.
Le groupe de chercheurs en sécurité aurait été créé de manière informelle en 2009 après un piratage majeur de Google liée à une vulnérabilité zero-day dans Microsoft Internet Explorer 6.
Outre le délai de 90 jours, Google Zero donne dans certains cas des délais gracieux supplémentaires.
Un privilège dont Microsoft semble rarement profiter.
Pensez-vous que c’est la bonne méthode pour pousser Microsoft à s’occuper de ses failles de sécurité ?
Les chercheurs du Google Project Zero devraient-ils être plus souples ? Partagez votre opinion dans les commentaires !
D’après Microsoft, la faille permet à un individu « d’obtenir les mêmes droits d’utilisateur que l’utilisateur actuel « .
Pour y parvenir, le pirate doit simplement attirer un internaute sur une adresse web dédiée. Aucun accès physique à votre PC n’est nécéssaire.
Le lien de la page peut être partagé par mail ou les réseaux sociaux. Une fois ouvert avec Internet Explorer, le pirate prend le contrôle de votre ordinateur.
On vous conseille de mettre à jour votre navigateur dans les plus brefs délais en vous rendant dans Windows Update.Voici la manœuvre :
Ouvrez Windows Internet Explorer.
Dans Outils, cliquez sur Windows Update
Cliquez sur Rechercher les mises à jour.
Dans Vérifier et installer les mises à jour, cliquez sur Installer les mises à jour
Suivez les instructions à l’écran.
Pour mémoire, ce n’est pas la première fois que Google repère une faille avant Microsoft.
En février dernier, le Google Project Zero mettait le doigt sur deux failles de sécurité zero-day sur Windows 10 en l’espace d’une semaine.
Microsoft déploie de toute urgence un patch correctif pour Internet Explorer. Une faille de sécurité a en effet été repérée par les équipes de Google.
Elle permet à un pirate de s’emparer des droits d’utilisateur de votre PC à distance. Explications.
Internet Explorer, l’ancien numéro 1 des navigateurs web, est victime d’une nouvelle faille 0-Day, annonce Microsoft sur son blog. Toutes les versions d’Internet Explorer de la 9 à la 11 sont concernées, précise le billet.
« Les clients pour qui Windows Update est activé et qui ont appliqué les dernières mises à jour de sécurité sont automatiquement protégés.
Nous encourageons nos clients à activer les mises à jour automatiques » continue Microsoft. Edge n’est pas concerné par la faille.
Internet Explorer : Microsoft corrige une faille 0-Day détectée par Google.
« Nous avons reçu un rapport de Google sur une nouvelle vulnérabilité utilisée dans des attaques ciblées » explique le géant du net. Clement Lecigne, un expert du groupe d’analyse des menaces de Google, a en effet mis le doigt sur faille critique. Selon Google, la faille a déjà été exploitée par des attaquants.
Lire aussi : Google révèle une grave faille de sécurité encore active dans Microsoft Edge.
Internet Explorer : Microsoft corrige en urgence une grave faille repérée par Google
Commentaires