Google a expliqué dans un long article détaillé comment Android veille à la sécurité du système et surtout aux risques présentés par des applications installés dans l'OS mobile. Google chasse au mieux les Potentially Harmful Apps (PHA), c'est-à-dire les applications contenant des malwares ou tout simplement à risque.
Google explique que dans certains cas précis, Android n'assure plus automatiquement sa propre sécurité avec Verify Apps (le système qui contrôle la sécurité), la firme parle alors d'appareils DOI (dead or insecure). Dans ce cas, comment procède-t-il pour aider les mobinautes à être mieux protégé ? C'est plutôt simple pour ce cas spécifique, la firme vérifie le nombre de téléchargements d'application réalisés par des supports DOI. Si une application est beaucoup téléchargée par des téléphones considérés comme non sécurisés, alors l'application sera aussi considérée comme DOI (donc spammy), malheureusement pour elle.
Toutefois, comme ce seul système ne serait être efficace pour savoir précisément quelles sont les applications à risque ou tout du moins potentiellement dangereuses (PHA), Google va plus loin pour mieux déterminer quels sont les périphériques DOI, et par conséquent, les apps également à risque. Android vérifie si un utilisateur tient ses applications à jour et vérifie leur sécurité. Dans ce cas, même si l'appareil de l'utilisateur est considéré comme dead or insecure, Google ne pénalise pas les applications qu'il télécharge sur son smartphone à cause de ce phénomène, le système considérant que l'usager fait tout en sorte pour maîtriser sa sécurité. Ce phénomène est appelé taux de rétention par Google, c'est-à-dire le pourcentage de tous les périphériques maintenus en sécurité qui ont téléchargé une même application en une journée.
Pour calculer le potentiel de dangerosité d'une app mobile, Google utilise donc l'app DOI scorer, un système de calcul qui restitue une métrique précise intitulée Z-Score. Le système mathématique s'appuie sur une idée simple : toutes les applications mobiles devraient avoir un Z-Score équivalent (ou presque). Si l'écart-type entre le Z-Score d'une app mobile est bien en-dessous de la moyenne calculée quotidiennement, Google lui ajoute un score DOI et vérifie les risques de l'app mobile.
Voici l'équation du Z-Score pour les plus passionnés et matheux d'entre vous :
- N : nombre de périphériques qui ont téléchargé l'application.
- X : nombre de dispositifs maintenus à jour qui ont téléchargé l'application.
- P : probabilité d'un appareil à télécharger une application qui sera conservée et maintenue.
Simple non ? Pour faire court, si Google remarque une amplitude inférieure à -3,7 (ce qui représente uniquement 0,01% de chance selon la firme), l'application est peut être marquée comme DOI. Google corrèle alors cette information avec d'autres paramètres pour classer ou non l'application en PHA (potentiellement dangereuse). En effet, les ingénieurs expliquent qu'avoir un mauvais Z-Score (ou score DOI) ne signifie par forcément que l'application est mauvaise, elle peut d'ailleurs être beaucoup téléchargée et maintenue à jour, etc. Dans ce cas, tous les indicateurs sont à prendre en compte pour classer ou non l'app mobile en PHA.
À ce jour, le système d'app DOI scorer a permis de signaler plus de 25000 applications mobiles d'Android, notamment autour de trois malwares virulents (Hummingbad, Ghost Push et Gooligan). L'objectif d'Android est de freiner rapidement l'hémorragie quand une application est touchée par un malware. Avec une hausse importante du score DOI sur une application pourtant très téléchargée, cela peut mettre la puce à l'oreille à Google et donc éviter la propagation de malwares dérangeants.