« Nous désactivons toute application qui s'avèrerait malicieuse pour l'utilisateur »
Répond Google, après l'étude sur Android Market

Le , par Gordon Fowler, Expert éminent sénior
Mise à jour du 24/06/10

« Nous désactivons toute application qui s'avèrerait malicieuse pour l'utilisateur »
Répond Google France, suite à l'étude de SMobile Systems sur l'Android Market

Google n'a pas tardé à réagir à l'étude de S-Mobiles qui accusait l'Android Market d'héberger de très nombreuses applications qualifiées de « suspectes » (lire ci-avant).

« Nous souhaiterions clarifier le point de la sécurité des applications proposées dans l'Android Market », nous a demandé Google France par mail.

« Ce rapport suggère que les utilisateurs d'Android ne contrôlent pas la sécurité des applications installées sur leur téléphone Android. Or non seulement chaque application Android requière pour son installation l'accord de l'utilisateur pour accéder à des informations sensibles, mais en plus les développeurs du Market sont aussi soumis à des vérifications sur la facturation de leurs applications afin de confirmer leur identité ».

Voilà qui rassurera les utilisateurs du petit robot vert. D'autant plus que Google France assure également que « nous désactivons toute application qui s'avèrerait malicieuse pour l'utilisateur ».

Mais dans « avérerait », il y a la notion de réaction, et pas de démarche pro-active comme sur l'AppStore ou le futur MarketPlace de Windows Phone 7.

Un choix qui peut parfaitement se justifier (neutralité de Google, rapidité et facilité de soumission, etc.).

Mais un choix qui pose la question de savoir comment ces applications malicieuses sont repérées.

Puisqu'il ne pratique pas de tests de sécurité au moment où le code est soumis à l'Android Market, comment Google sépare-t-il le bon grain de l'ivraie ?

« Les applications malicieuses sont le plus souvent signalées par la communauté d'utilisateurs », admet son porte parole. L'application est alors testée sur le champ et, le cas échéant, retirée.

« Mais nous surveillons également étroitement la plateforme pour chasser toute application frauduleuse ». Cette tâche incombe aux équipes internes en charge du projet Android et de son MarketPlace.

Modération a posteriori contre sélection a priori, à chacun de choisir sa méthode préférée.

Source : Mails de Google France et la rédaction

Et vous ?

Quelle méthode préférez-vous : la modération après validation ou la sélection au moment de la proposition de l'appli ?

MAJ de Gordon Fowler

Android Market : 40 % des applications seraient suspectes
Et agiraient comme des spywares, d'après un rapport dont on peut questionner l'indépendance

Apple est critiqué par de nombreux développeurs pour sa politique de validation très stricte des applications pour iPhone, Google a choisi pour sa part une attitude très différente. Les applications de l'Android Market pour son OS mobile ne sont pas filtrées, mais simplement vérifiées.

Il se pourrait bien que, malgré les critiques, ce soit Apple qui ait fait le bon choix.

C'est en tout cas ce que semble laisser entendre un rapport de SMobile Systems, une société spécialisée dans la sécurité des smartphones. Son étude montre en effet qu'une application sur cinq référencée dans l'Android Market donnerait « la permission d'accéder à des données privées ou sensibles qu'un attaquant pourrait utiliser à des fins malicieuses ».

Le « pourrait » est important .Mais le rapport continue. Pire, d'après lui, 5% de la totalité des applications sous Android permettraient de passer des appels sans que le possesseur du smartphone ne le sache. Et 3 % pourraient transformer le téléphone en machine à spams en envoyant des SMS à l'insu de l'utilisateur.

Au total se serait en fait 20.000 applications qui seraient « suspectes » (sur les 48.000 environ de l'Android MarketPlace, soit 41 %).

D'après Dan Hoffman, Responsable de la Technologie chez SMobile Systems, ces applications utilisent la même méthodologie que les spywares en observant les contenus des mails, le carnet d'adresse, la localisation... et même les appels.

La conclusion de cette étude montre qu'une application qui vient d'une galerie connue n'est pas nécessairement sécurisée. Bien au contraire.

Une conclusion sensée. Le manque d'informations sur l'origine des applications est effectivement un problème pour les Marketplace ouverts comme celui de Google. Les développeurs indépendants n'utilisent pas toujours leurs vrais noms (ce qui est compréhensible) et les liens vers les éditeurs ne sont pas toujours présents ou pertinents pour se prémunir de ces menaces.

Pour SMobile Systems, une des solutions possibles est d'utiliser son anti-spyware. Bien sûr.

Alors, étude objective ou nouveau FUD (Fear, Uncertain, Doubt) pour placer sa marchandise ?

Certainement un peu des deux.

Source : Le rapport « SMobile Security Analysis of Over 48,000 Android Market Applications »

Lire aussi :

L'Android Market passe la barre des 50 000 applis, l'AppStore atteindrait les 400 000 à la fin de l'année
Steve Jobs dénigre Android en l'accusant d'être un supermarché de la pornographie pour défendre le filtrage contesté des applications de l'AppStore
Android continue à progresser face à l'iPhone, malgré l'Android Market ?

Les rubriques (actu, forums, tutos) de Développez :

Android
Mobile
Sécurité
Systèmes
Développement Web

D'après vous ?

Étude objective ou FUD ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Floréal Floréal - Membre éclairé http://www.developpez.com
le 24/06/2010 à 16:52
Est-ce qu'au final ce n'est pas la même problématique que Mozilla a eu à gérer avec les extensions pour Firefox?
Avatar de Gordon Fowler Gordon Fowler - Expert éminent sénior http://www.developpez.com
le 24/06/2010 à 17:14
Citation Envoyé par Floréal  Voir le message
Est-ce qu'au final ce n'est pas la même problématique que Mozilla a eu à gérer avec les extensions pour Firefox?

+1
Avatar de umeboshi umeboshi - Membre habitué http://www.developpez.com
le 24/06/2010 à 17:23
Quelle méthode préférez-vous : la modération après validation ou la sélection au moment de la proposition de l'appli ?

modérer après, dans le cas d'un ver, ça me fait un peu peur, mais pourquoi pas.
Avatar de Paul TOTH Paul TOTH - Expert éminent sénior http://www.developpez.com
le 24/06/2010 à 17:31
Citation Envoyé par umeboshi  Voir le message
Quelle méthode préférez-vous : la modération après validation ou la sélection au moment de la proposition de l'appli ?

modérer après, dans le cas d'un ver, ça me fait un peu peur, mais pourquoi pas.

il faudrait un ver à retardement pour qu'il soit efficace...genre au bout de six mois ou tout le monde s'est échangé le nouveau truc super drôle qui sert à rien, se transforme tout d'un coup en un méchant ver qui fait tout péter...reste à savoir comment il le ferait mais bon

et donc Google aurait alors l'identité de l'auteur de cette attaque qui lui vaudrait une célébrité à la hauteur des ennuis qu'il encourerait.

EDIT: je vous invite également à lire les conditions générales de vente de l'Apple Store et notamment la partie leur responsabilité

11. Notre responsabilité

11.1 Si vous êtes un Consommateur, rien dans le Contrat ne saurait limiter ou exclure notre responsabilité pour un manquement à l'une quelconque des obligations à notre charge en vertu d’une disposition légale d’ordre public. Si vous n'êtes pas un Consommateur : 11.1.1 les présentes conditions générales décrivent l'ensemble de nos obligations et responsabilités concernant la fourniture des Produits (ainsi que l’utilisation de notre assistance téléphonique et notre service de garantie) et de la réalisation des Services; 11.1.2 les seules obligations et garanties qui nous incombent sont celles expressément énoncées dans le Contrat, à l'exclusion de toutes autres garanties et/ou obligations ; et 11.1.3 toute garantie et/ou obligation concernant les Produits ou Services qui pourrait être à notre charge en vertu d'une disposition légale (ceci incluant notamment toute obligation implicite concernant la qualité, l'adéquation à un usage particulier, le soin et les aptitudes raisonnables à mettre en œuvre) est par la présente expressément exclue. En particulier, Apple n’a pas d’obligations de s’assurer que les Produits correspondent à vos besoins.

11.2 Rien dans le Contrat ne peut limiter ou exclure notre responsabilité en cas de décès ou de dommages corporels causés par notre négligence ou par fraude.

11.3 Sous réserve des dispositions de l'article 11.2, notre responsabilité ne pourra pas être engagée en vertu du Contrat pour toute perte de revenus, perte de profits, perte de contrats, perte de données ainsi que pour tout autre dommage, même s'il est causé par notre faute (incluant la négligence), la violation de nos obligations contractuelles ou tout autre fondement.

11.4 Sous réserve des dispositions de l’article 11.2, notre responsabilité ne pourra être engagée en vertu du Contrat dès lors que l’inexécution ou la mauvaise exécution du Contrat serait de votre propre fait, soit du fait, imprévisible et insurmontable, d’un tiers au Contrat, soit du fait d’un cas de force majeure tel que précisé à l’article 15.

11.5 Sous réserve des dispositions de l'article 11.2, notre responsabilité totale est plafonnée, quel que soit son fondement, au montant payé par vous pour le(s) Produit(s) et/ou Services en cause.

Vous pouvez mourir tranquille ! vous vous sentez en sécurité maintenant ?
Avatar de lequebecois79 lequebecois79 - Membre confirmé http://www.developpez.com
le 24/06/2010 à 18:06
Citation Envoyé par Gordon Fowler  Voir le message
Mais dans « avérerait », il y a la notion de réaction, et pas de démarche pro-active comme sur l'AppStore ou le futur MarketPlace de Windows Phone 7.

tu peux expliquer comment une application sur l'appstore serait plus sécuritaire qu'une application android?
Avatar de Gordon Fowler Gordon Fowler - Expert éminent sénior http://www.developpez.com
le 24/06/2010 à 18:56
Citation Envoyé par lequebecois79  Voir le message
tu peux expliquer comment une application sur l'appstore serait plus sécuritaire qu'une application android?

Si la question s'adresse à moi je ne peux que te demander où tu as vu que j'avais écrit un truc pareil ?
J'ai parlé de deux démarches, une pro-active et un autre réactive, en disant que les deux avaient leurs logiques légitimes.

Cordialement,

Gordon
Avatar de lequebecois79 lequebecois79 - Membre confirmé http://www.developpez.com
le 24/06/2010 à 21:09
Citation Envoyé par Gordon Fowler  Voir le message
Si la question s'adresse à moi je ne peux que te demander où tu as vu que j'avais écrit un truc pareil ?
J'ai parlé de deux démarches, une pro-active et un autre réactive, en disant que les deux avaient leurs logiques légitimes.

Cordialement,

Gordon

Mais dans « avérerait », il y a la notion de réaction, et pas de démarche pro-active comme sur l'AppStore ou le futur MarketPlace de Windows Phone 7.

la tournure de phrase donne comme l'impression qu'une démarche pro-active est mieux
Avatar de henolivier henolivier - Membre actif http://www.developpez.com
le 25/06/2010 à 6:34
Et toute cette discussion est partie sur un rapport d'une boîte et dont les explications ne parlent pas du nombre d'applications effectivement frauduleuses mais uniquement du nombre de permissions qu'une application demande.

En effet, en lisant leurs rapports, ils indiquent qu'ils estiment qu'une application est dangereuse à partir du moment ou elle utilise au moins 2 permissions utilisant des données privées (avec ou sans légitimité de les utiliser).

Comme exemple, une application géolocalisant les restaurants autour de nous avec possibilité de les appeler demande au minimum 2 permissions (localisation et possibilité de faire des appels), elle sera automatiquement identifiée comme à risque car elle demandera au moins 2 permissions.
(je sais pas si une application pareille existe sous Android, mais une existe pour IPhone a Pékin).

Bien évidemment, je ne doute pas que certaines applications pourront être problématique (et donc les retirer à fortiori et à distance me parait un minumum même si avant serait mieux)
Mais leurs méthodes de vérification de la dangerosité d'une application me parait personnellement un peu trop sommaire pour être efficace.
Avatar de stailer stailer - Membre chevronné http://www.developpez.com
le 25/06/2010 à 9:23
comment vendre son produit en racontant n'importe quoi...

dans chaque application android, on doit spécifier à quoi on va accéder au système... c'est diviser en genre de groupe...

d'ailleurs quand tu installes une application il est clairement dit à ce que l'application a accès.

Après se baser sur ces groupes sans avoir accès au code... c'est n'importe quoi.

Est-ce que apple a accès aux sources des logiciel qu'il valide?
Alors aucune certitude de ce que fait le programme...

C'est que de la propagande pour essayer de vendre ses outils, rien de plus.

D'ailleurs on ne peut être certain de ce que fait le logiciel sans avoir les sources.

+1
Avatar de dams78 dams78 - Membre chevronné http://www.developpez.com
le 25/06/2010 à 9:45
Moi j'ai toujours pas compris comment on pouvait s'assurer qu'une application n'était pas malicieuse. Autant sur un système à la Debian avec un dépôt regroupant des applications Open Source, je vois comment on peut s'assurer de l'intégrité des applications, autant sur un store avec des applications propriétaires je ne comprends pas... Ou alors il faudrait tester "à la main" toutes les applications une par une?
Avatar de GuiDjad GuiDjad - Membre régulier http://www.developpez.com
le 25/06/2010 à 15:46
Moi aussi je comprends pas comment la vérification se fait . Se fait-elle en examinant le code source ou en utilisant l'appli? Dans le deuxième cas, ne peut-il pas y avoir des fonctions cachées qui demandent l'examen en profondeur de l'application? Par exemple un jeu, qui lorsque tu le finis, collecte des infos sur toi.

Je préfère la démarche pro-active. Mieux vaut prévenir que guérir.
Offres d'emploi IT
Analyste SI-métier (poste également ouvert aux stagiaires, alternants et VIE du groupe)-(H/F)
Société Générale - Ile de France - Val-de-Marne
Data scientist inspection générale (H/F)
Société Générale - Ile de France - Hauts-de-Seine
Chargé(e) de mission au CERT Société Générale (H/F)
Société Générale - Ile de France - Val-de-Marne

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil