Android P : Google veut empêcher les applications de surveiller votre activité réseau
Une faille de confidentialité que la firme a décidé de corriger

Le , par Michael Guilloux, Chroniqueur Actualités
Android Oreo est disponible depuis le mois d'août, et Google a déjà commencé à travailler sur la prochaine version de son OS mobile, connu actuellement sous le nom d'Android P, d'après la logique de versionnage de Google. Une préversion développeur d'Android P est d'ailleurs disponible depuis le mois de mars avec des nouveautés comme une interface photo plus fluide ; plusieurs améliorations aux notifications qui permettent notamment une meilleure expérience de messagerie et une meilleure gestion de l'affichage, entre autres. Android P devrait également connaitre une refonte significative en trichant un peu sur l'iPhone X, pour séduire les amateurs de l'iPhone.

Pour les utilisateurs soucieux de la sécurité, Google implémente également le support du DNS sur TLS pour empêcher l'écoute et la falsification des requêtes DNS sur un réseau. Pour comprendre son utilité, il faut savoir que quand vous tapez une adresse URL dans votre navigateur, votre appareil va interroger un DNS qui va rechercher et renvoyer au client l’adresse IP associée. Le problème est que ces requêtes sont faites en texte clair via des protocoles UDP ou TCP qui sont lisibles par tous ceux qui peuvent voir votre connexion, y compris votre FAI et des acteurs malveillants du Net. DNS sur TLS va maintenant permettre de chiffrer le trafic DNS, de la même manière que HTTPS chiffre le trafic HTTP. Cette fonctionnalité annoncée en octobre dernier a été incluse dans Android P. La prochaine version majeure de l'OS mobile de Google devrait aussi donner la possibilité aux opérateurs de mobile de masquer la force du signal réseau sur les périphériques des utilisateurs.


Aux dernières nouvelles, Android P devrait également empêcher les applications de surveiller votre activité réseau. C'est ce que révèle XDA, le site spécialisé qui a l'habitude de suivre de près le développement de l'OS à travers l'Android Open Source Project (AOSP).

Certains pourraient se demander ce qu'il entendre par « surveiller votre activité réseau », parce que c'est quelque chose dont la plupart des utilisateurs Android n'ont pas connaissance. Pour ces derniers, comme l'explique XDA, il faut savoir qu'actuellement, les applications sur Android peuvent accéder pleinement à l'activité réseau de votre appareil, même sans demander d'autorisations sensibles. Plus exactement, elles peuvent détecter toute connexion entrante ou sortante via TCP/UDP pour déterminer si vous vous connectez à un certain serveur. « Par exemple, une application peut détecter une connexion d'une autre application de votre appareil au serveur d'une institution financière », explique XDA. « N'importe quelle application peut détecter non seulement les connexions des autres applications de votre appareil à Internet, mais aussi savoir quand ces applications se connectent à Internet et d'où elles se connectent. »

Cela est possible parce qu'il n'y a actuellement aucune restriction sur les applications pouvant accédant au répertoire /proc/net, qui fournit un aperçu complet de divers paramètres et statistiques liés à l'activité réseau. Cela permet donc aux applications de lire certains fichiers du dossier, en particulier les fichiers TCP et UDP, pour analyser l'activité réseau de votre appareil.

Ainsi, des applications telles que Facebook, Twitter et d'autres applications de médias sociaux pourraient utiliser cette « faille de confidentialité » pour suivre votre activité réseau à votre insu, ce que Google veut corriger maintenant, à travers une validation de code (commit) dans le projet AOSP. Le commit en question vise à « démarrer le processus de verrouillage de proc/net ».

Grâce à de nouveaux changements apportés aux règles SELinux d'Android, l'accès à certains fichiers du répertoire /proc/net sera maintenant restreint. « Les fichiers dans /proc/net divulguent des informations », peut-on lire dans la description du commit. Ce changement est la première étape d'un processus qui vise à déterminer les fichiers que les applications peuvent utiliser, mettre sur liste blanche les accès bienveillants ou sans conséquence grave, et supprimer les autres accès tout en fournissant des API alternatives sûres. En vertu de ce changement, seules les applications VPN devraient accéder aux fichiers tcp, tcp6, udp, udp6 du répertoire proc/net/ et de ce fait, il est indiqué que les fichiers /proc/net/{tcp,tcp6,udp,udp6} seront renommés en proc_net_vpn. Les autres demandes d'accès seront auditées par le système.

C'est un très petit changement que les utilisateurs sont peu susceptibles de remarquer, mais les implications pour la vie privée des utilisateurs seront énormes. D'après XDA, ce changement devrait être implémenté dans une future préversion développeur d'Android P. À des fins de compatibilité, il semble que les applications ciblant les niveaux d'API inférieurs à 28 (avant Android P) pourront toujours surveiller l'activité réseau de votre appareil, jusqu'en 2019 où toutes les applications seront dans l'obligation de cibler le niveau API 28.

Sources : XDA, AOSP

Et vous ?

Saviez-vous que les applications sur Android avaient une telle possibilité de surveiller l'activité réseau des utilisateurs ?
En tant que développeur, comment cette possibilité peut-être utile ?

Voir aussi :

Certains fabricants des téléphones Android mentent à propos des mises à jour de sécurité, d'après des chercheurs de Security Research Lab
Android : trois applications de sécurité sur cinq n'offrent pas de protection réelle, selon une étude menée par AV-comparatives
Les appareils Android non certifiés par Google n'auraient plus accès aux applications et services officiels de la firme de Mountain View
Android Studio 3.1 est disponible en téléchargement, une mise à jour axée sur l'amélioration de la productivité des développeurs
Google annonce la disponibilité de la première préversion dédiée aux développeurs d'Android P, elle s'accompagne d'une multitude de nouveautés


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 09/05/2018 à 2:55
Google déploie Android P Beta, la prochaine version majeure de son système d'exploitation mobile
s'accompagne d'un nouveau système de navigation

En mars dernier, Google a publié la première Developer Preview d’Android P, la prochaine version majeure de son système d’exploitation mobile. Cette fois-ci, Google a lancé la première bêta d’Android P.

La première préversion n’était pas disponible via le programme Android Beta, qui vous permet d'accéder aux premiers builds Android via des mises à jour over-air, pour souligner qu’il s’agissait uniquement d’une mise à jour à l’intention des développeurs et non des utilisateurs grand public. Cette bêta, cependant, peut être obtenue via le programme Android Beta.

La bonne nouvelle est que, contrairement à ses habitudes (notamment diffuser les préversions sur ses smartphones que sont les Nexus et les Pixel), Google a annoncé que, en dehors de ses smartphones, la bêta d’Android P est disponible sur les Sony Xperia XZ2, Xiaomi Mi Mix 2S, Nokia 7 Plus, Oppo R15 Pro, Vivo X21, Essential PH‑1 et dans quelques jours pour le OnePlus 6.

Ces modèles ont été choisi parce qu’ils intègrent le Project Treble, un nouveau dispositif introduit par Android Oreo pour accélérer la mise à disposition des mises à jour. Le projet consiste à séparer le système Android des modifications propres à chaque appareil, pour améliorer le système sans le réadapter systématiquement aux terminaux, ce qui permettra aux constructeurs d’être plus réactifs.


Dave Burke, vice-président de l'ingénierie pour Android, a fait cette annonce lors de la conférence des développeurs I / O 2018 de Google hier. Burke a passé en revue les nouvelles fonctionnalités d'Android P.

Cette version s’accompagne des App Actions, qui tentent de prédire la prochaine action que l'utilisateur souhaite effectuer. Leur objectif est de rendre les fonctionnalités et le contenu des applications plus accessibles, afin que les utilisateurs puissent y accéder au bon moment. Elles apparaissent aux utilisateurs en fonction de leur utilisation et de leur pertinence, via l'application de recherche Google, Google Play, l'Assistant Google et le lanceur Android.

Android P va également s’accompagner d’un nouveau système de navigation qui va plus faire appel à une navigation gestuelle à la place d’une navigation avec des boutons numériques. Aussi, le nouveau système dispose d’un seul bouton (le bouton Accueil, bien que le bouton Retour est toujours là mais est caché par défaut).

Désormais, un glissement du bas vers le haut ouvre le tiroir multitâche sur un smartphone équipé Android P. Google a également fait disparaître les cartes pour laisser place à un système ou on navigue d’une application à l’autre de gauche à droite.


Pour accéder au lanceur d’applications, on glisse une deuxième fois vers le haut, une fois arrivé au tiroir multitâche. En glissant de la gauche vers la droite sur le bas de l’écran, on bascule rapidement d’une application à l’autre, une fonctionnalité qui devrait plaire aux utilisateurs les plus pressés.

Il y a également un bouton de rotation qui apparaît dans le coin de l'écran lorsque vous faites pivoter physiquement votre téléphone Android, vous n'avez donc plus besoin de décider si vous souhaitez activer la rotation automatique ou la désactiver lorsqu'elle est activée. La fonctionnalité n’apparaît que lorsque vous en avez besoin.

Rappelons également d’autres nouvelles fonctionnalités introduites depuis la préversion développeur.

La localisation en WiFi en intérieur

La géolocalisation en intérieur est toujours un problème, les GPS ayant besoin d’avoir accès à plusieurs satellites pour fonctionner correctement. Aussi, Android P vient tirer parti du protocole Wi-Fi IEEE 802.11mc, également connu sous le nom de RTT (Wi-Fi Round-Trip-Time), pour vous permettre de profiter du positionnement à l'intérieur de vos applications.

Sur les appareils Android P avec prise en charge matérielle, vos applications peuvent utiliser les nouvelles API RTT pour mesurer la distance jusqu'aux points d'accès Wi-Fi (RT) compatibles RTT. L'emplacement de l'appareil doit être activé et l'analyse Wi-Fi doit être activée (sous Paramètres> Emplacement), et votre application doit au moins disposer de l'autorisation ACCESS_COARSE_LOCATION. L'appareil n'a pas besoin de se connecter aux points d'accès pour utiliser RTT. Pour préserver la confidentialité, seul le téléphone est capable de déterminer la distance jusqu'au point d'accès. Les points d'accès n'ont pas cette information.

Le résultat est généralement précis dans un rayon de un à deux mètres.

Avec cette précision, vous pouvez créer de nouvelles expériences, telles que la navigation dans les bâtiments, des services de localisation précis tels que le contrôle vocal non ambigu (par exemple, « Allume cette ampoule ») et des informations basées sur la localisation (par exemple, obtenir des offres spéciales une fois que vous passez à côté d’un produit).

Une nouvelle interface pour les notifications (notamment une expérience de messagerie améliorée)

À partir d'Android 7.0 (niveau d'API 24), vous pouviez ajouter une action pour répondre aux messages ou pour donner la possibilité d’entrer un autre texte directement à partir d'une notification. Android P rend plus performante cette fonctionnalité avec les améliorations suivantes :
  • prise en charge des images : Android P affiche désormais des images dans les notifications de messagerie sur les téléphones. Vous pouvez utiliser setData () sur le message pour afficher une image ;
  • prise en charge simplifiée des participants à la conversation : la nouvelle classe Notification.Person est utilisée pour identifier les personnes impliquées dans une conversation, y compris leur avatar et leur URI. De nombreuses autres API, telles que addMessage (), utilisent désormais la classe Person au lieu d'une classe CharSequence ;
  • enregistrer les réponses sous forme de brouillons : votre application peut récupérer le message EXTRA_REMOTE_INPUT_DRAFT envoyé par le système lorsqu'un utilisateur ferme par inadvertance une notification de messagerie. Vous pouvez utiliser cet extra pour préremplir les champs de texte dans l'application afin que les utilisateurs puissent terminer leur réponse ;
  • identifier si une conversation est une conversation de groupe : vous pouvez utiliser setGroupConversation () pour identifier intentionnellement une conversation en tant que conversation de groupe ou non ;
  • définition de l'action sémantique d'une intention : la méthode setSemanticAction () vous permet de donner une signification sémantique à une action, telle que marquer comme lu, supprimer, répondre, etc. ;
  • SmartReply : Android P prend en charge les mêmes réponses que celles proposées dans votre application de messagerie. Utilisez RemoteInput.setChoices () pour fournir un tableau de réponses standard à l'utilisateur.


Source : Google

Voir aussi :

Google annonce la disponibilité de la première préversion dédiée aux développeurs d'Android P, elle s'accompagne d'une multitude de nouveautés
Android P va connaitre une refonte spectaculaire et apporter le support de l'encoche comme l'iPhone X, Google espère séduire les amateurs de l'iPhone
Certains fabricants des téléphones Android mentent à propos des mises à jour de sécurité, d'après des chercheurs de Security Research Lab
Android : trois applications de sécurité sur cinq n'offrent pas de protection réelle, selon une étude menée par AV-comparatives
Les appareils Android non certifiés par Google n'auraient plus accès aux applications et services officiels de la firme de Mountain View
Avatar de ismart ismart - Membre à l'essai https://www.developpez.com
le 18/05/2018 à 22:28
Donc fondamentalement Google va simplement nous apporter trois fonctionnalités 'révolutionnaires', dont deux (l'un qui existe déjà depuis longtemps dans iOS et l'autre qui est simplement retardé) est essentiellement juste arraché d'Apple OS? Wow, vraiment innovant.
Avatar de Christian Olivier Christian Olivier - Chroniqueur Actualités https://www.developpez.com
le 07/06/2018 à 14:04
Google lance la bêta 2 d’Android P avec une centaine de nouveaux emojis
Et finalise les fonctionnalités introduites avec les versions précédentes

Après la publication en mars dernier de la première Developer Preview d’Android P (alias Android 9) et de la première bêta deux mois plus tard, Google vient de lancer la seconde bêta de la prochaine itération majeure de son système d’exploitation pour mobiles, celle-là même qui devra succéder à Android O.


C’est la troisième et dernière préversion d’Android P ciblant les développeurs, Google ayant prévu de lancer deux autres préversions (des release candidate cette fois) en juin puis en juillet avant la sortie de la version finale au troisième trimestre.


Cette version apporte les API finales (API Level 28) du système d’exploitation. Elle intègre un nouveau SDK, des outils de développement mis à jour ainsi que les dernières images système pour les smartphones Pixel de la marque et l’émulateur Android.

Comme sur la première bêta d’Android P, cette préversion peut également être déployée sur les smartphones comme le Xiaomi Mi Mix 2S, l'Essential PH‑1, le Nokia 7 Plus, l'Oppo R15 Pro, le Vivo X21, le Sony Xperia XZ2 ou le OnePlus 6 qui intègrent le Project Treble, un nouveau dispositif introduit par Android Oreo pour accélérer la mise à disposition des mises à jour.

La beta 2 d’Android 9 introduit une centaine de nouveaux emojis (157 pour être plus précis), dont plusieurs neutres du point de vue du genre et finalise les fonctionnalités introduites dans les versions précédentes (App Actions, nouveau système de navigation, nouvelle interface pour les notifications, prise en charge de l’affichage avec encoche, limitations imposées aux applications en arrière-plan, etc). Elle peut être obtenue via le programme Android Beta.


Source : Google

Et vous ?

Qu’en pensez-vous ?

Voir aussi

Android P va connaitre une refonte spectaculaire et apporter le support de l'encoche comme l'iPhone X, Google espère séduire les amateurs de l'iPhone
Android P : Google veut empêcher les applications de surveiller votre activité réseau, une faille de confidentialité que la firme a décidé de corriger
Android P permettra bientôt aux opérateurs mobiles de décider de masquer la force du signal réseau sur les périphériques des utilisateurs
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 04/07/2018 à 14:14
Android P : une version quasi-finale est disponible pour les développeurs
et apporte un SDK mis à jour avec des images système pour les Pixel

Elle n'a toujours pas de nom officiel, mais Google a publié ce que l’entreprise estime être une version quasi-finale d'Android P. La nouvelle version arrive un mois après la version bêta 2. Il s'agit de la dernière mise à jour bêta majeure que la société envoie aux développeurs avant la version finale du système d'exploitation mobile, qui sera alors disponible pour le public.

La préversion inclut un SDK mis à jour avec des images système pour le Pixel, le Pixel XL, le Pixel 2, le Pixel 2 XL et l'émulateur Android officiel. Si vous êtes déjà inscrit et que vous avez reçu les bêta Android P sur votre appareil Pixel, vous obtiendrez automatiquement la mise à jour vers la version bêta 3.

Google a lancé le première préversion développeur Android P en mars, la seconde en mai lors de sa conférence orientée développeurs I/O et la troisième en juin. La première préversion n'a pas été rendu disponible via le programme bêta Android, qui vous permet d'accéder aux premières versions d'Android via des mises à jour over-air, pour souligner qu'elle est réservée aux développeurs et non destinée à un usage quotidien ou grand public. Les betas, cependant, peuvent être obtenus sur android.com/beta.

En plus des appareils Pixel de Google, la première beta Android P a été mise à disposition sur le Sony Xperia XZ2, le Xiaomi Mi Mix 2S, le Nokia 7 Plus, le Oppo R15 Pro, le Vivo X21, le OnePlus 6 et le Essential PH-1. Comme pour la version bêta 2, Google indique que les partenaires participant au programme Android P Bêta mettront à jour leurs appareils en version bêta 3 « au cours des prochaines semaines ».


Dave Burke, vice-président de l'ingénierie, a expliqué « qu’avec les API des développeurs déjà finalisées dans la mise à jour précédente, la version bêta 3 nous rapproche désormais de ce que vous verrez dans la version finale d'Android P, prévue pour cet été. Android P Beta 3 inclut les dernières corrections de bogues et optimisations pour la stabilité et le polissage, ainsi que les mises à jour de sécurité de juillet 2018. C'est un excellent moyen de tester vos applications pour vous assurer qu'elles sont prêtes avant la version finale ».

Cette mise à jour s’accompagne d'une mise à jour des outils de construction d'Android Studio pour inclure D8 en tant qu'outil indépendant. Bêta 3 est une version préliminaire d'Android avec des comportements système quasi-finaux et les API P Android officielles (niveau API 28).

Avec les images système Bêta 3 et les outils de création mis à jour, vous disposez de tout ce dont vous avez besoin pour tester vos applications ou les étendre avec Android P comme le support multicaméra, la découpe d'écran, les notifications améliorées, ImageDecoder, TextClassifier et bien d'autres.

Burke recommande de vous assurez de prendre en compte les compartiments de veille, les restrictions de confidentialité et les restrictions sur les interfaces non-SDK lors de vos tests.

Une prise en main simplifiée

Burke explique que quelques étapes simples suffisent. Tout d'abord, faites en sorte que votre application soit compatible et permettez à vos utilisateurs une transition transparente vers Android P. Installez simplement votre application actuelle sur Google Play sur un appareil ou un émulateur Android P, et testez l'application (l’application doit fonctionner parfaitement et gérer correctement les changements de comportement relatif à Android P). Après avoir effectué les mises à jour nécessaires, Burke recommande de publier sur Google Play immédiatement sans modifier le ciblage par plateforme de l'application.


« Si vous n'avez pas de périphérique pris en charge, n'oubliez pas que vous pouvez configurer un périphérique virtuel Android sur l'émulateur Android pour votre environnement de test. Si vous n'avez pas essayé l'émulateur récemment, vous constaterez qu'il est incroyablement rapide, démarre en moins de 6 secondes et vous permet même de modéliser des écrans de prochaine génération, tels que des écrans longs et des écrans avec une découpe d'écran », explique Burke.

Après avoir passé cette première étape, il vous faut mettre à jour la cible targetSdkVersion de votre application à 28 dès que possible, afin que les utilisateurs Android P de votre application puissent bénéficier des dernières fonctionnalités de sécurité, de performances et de stabilité de la plateforme. Si votre application cible déjà l'API 26+ conformément aux stratégies de Google Play, la modification de l'API cible 28 ne devrait pas nécessiter grand chose. Lorsque vous modifiez votre ciblage, assurez-vous que votre application prend en charge tous les changements de comportement applicables.

Il est également important de tester vos applications pour l'utilisation d'interfaces non-SDK et de réduire votre dépendance à leur égard. Comme indiqué récemment, Android P restreint l'accès aux interfaces non-SDK sélectionnées. Surveillez les avertissements logcat qui mettent en évidence les utilisations directes des interfaces non-SDK restreintes et essayez la nouvelle méthode StrictMode detectNonSdkApiUsage () pour intercepter les accès par programme. Dans la mesure du possible, vous devez utiliser des équivalents publics du SDK ou NDK Android. Burke demande d’informer l’équipe Android si aucune API publique ne correspond à votre cas d'utilisation.

« Lorsque vous êtes prêt, plongez dans Android P et découvrez les nouvelles fonctionnalités et API que vous pouvez utiliser dans vos applications. Pour créer avec les nouvelles API, il suffit de télécharger l'API 28 SDK et les outils officiels dans Android Studio 3.1 ou d'utiliser la dernière version d'Android Studio 3.2. Ensuite, mettez à jour les fichiers compileSdkVersion et targetSdkVersion de votre projet vers l'API 28 ».

Source : blog Android

Voir aussi :

Play Store : baisse brutale des installations de certaines applications Android, Google aurait modifié son algorithme de classement
Tous les appareils Android depuis 2012 seraient menacés par RAMpage, une vulnérabilité qui permet d'accéder aux données d'autres applications
Play Store : Google annonce une mesure de sécurité qui s'apparenterait à un DRM introduit dans les applications Android
Flutter, le SDK mobile pour Android et iOS sort de la phase bêta, Google annonce la Release Preview 1, une étape importante avant la version 1.0
Google entame le déploiement d'un client Web pour Android Messages, l'application qui permet d'envoyer et recevoir des SMS sur son PC

 
Contacter le responsable de la rubrique Accueil