Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Android P : Google veut empêcher les applications de surveiller votre activité réseau
Une faille de confidentialité que la firme a décidé de corriger

Le , par Michael Guilloux

200PARTAGES

9  0 
Android Oreo est disponible depuis le mois d'août, et Google a déjà commencé à travailler sur la prochaine version de son OS mobile, connu actuellement sous le nom d'Android P, d'après la logique de versionnage de Google. Une préversion développeur d'Android P est d'ailleurs disponible depuis le mois de mars avec des nouveautés comme une interface photo plus fluide ; plusieurs améliorations aux notifications qui permettent notamment une meilleure expérience de messagerie et une meilleure gestion de l'affichage, entre autres. Android P devrait également connaitre une refonte significative en trichant un peu sur l'iPhone X, pour séduire les amateurs de l'iPhone.

Pour les utilisateurs soucieux de la sécurité, Google implémente également le support du DNS sur TLS pour empêcher l'écoute et la falsification des requêtes DNS sur un réseau. Pour comprendre son utilité, il faut savoir que quand vous tapez une adresse URL dans votre navigateur, votre appareil va interroger un DNS qui va rechercher et renvoyer au client l’adresse IP associée. Le problème est que ces requêtes sont faites en texte clair via des protocoles UDP ou TCP qui sont lisibles par tous ceux qui peuvent voir votre connexion, y compris votre FAI et des acteurs malveillants du Net. DNS sur TLS va maintenant permettre de chiffrer le trafic DNS, de la même manière que HTTPS chiffre le trafic HTTP. Cette fonctionnalité annoncée en octobre dernier a été incluse dans Android P. La prochaine version majeure de l'OS mobile de Google devrait aussi donner la possibilité aux opérateurs de mobile de masquer la force du signal réseau sur les périphériques des utilisateurs.


Aux dernières nouvelles, Android P devrait également empêcher les applications de surveiller votre activité réseau. C'est ce que révèle XDA, le site spécialisé qui a l'habitude de suivre de près le développement de l'OS à travers l'Android Open Source Project (AOSP).

Certains pourraient se demander ce qu'il entendre par « surveiller votre activité réseau », parce que c'est quelque chose dont la plupart des utilisateurs Android n'ont pas connaissance. Pour ces derniers, comme l'explique XDA, il faut savoir qu'actuellement, les applications sur Android peuvent accéder pleinement à l'activité réseau de votre appareil, même sans demander d'autorisations sensibles. Plus exactement, elles peuvent détecter toute connexion entrante ou sortante via TCP/UDP pour déterminer si vous vous connectez à un certain serveur. « Par exemple, une application peut détecter une connexion d'une autre application de votre appareil au serveur d'une institution financière », explique XDA. « N'importe quelle application peut détecter non seulement les connexions des autres applications de votre appareil à Internet, mais aussi savoir quand ces applications se connectent à Internet et d'où elles se connectent. »

Cela est possible parce qu'il n'y a actuellement aucune restriction sur les applications pouvant accédant au répertoire /proc/net, qui fournit un aperçu complet de divers paramètres et statistiques liés à l'activité réseau. Cela permet donc aux applications de lire certains fichiers du dossier, en particulier les fichiers TCP et UDP, pour analyser l'activité réseau de votre appareil.

Ainsi, des applications telles que Facebook, Twitter et d'autres applications de médias sociaux pourraient utiliser cette « faille de confidentialité » pour suivre votre activité réseau à votre insu, ce que Google veut corriger maintenant, à travers une validation de code (commit) dans le projet AOSP. Le commit en question vise à « démarrer le processus de verrouillage de proc/net ».

Grâce à de nouveaux changements apportés aux règles SELinux d'Android, l'accès à certains fichiers du répertoire /proc/net sera maintenant restreint. « Les fichiers dans /proc/net divulguent des informations », peut-on lire dans la description du commit. Ce changement est la première étape d'un processus qui vise à déterminer les fichiers que les applications peuvent utiliser, mettre sur liste blanche les accès bienveillants ou sans conséquence grave, et supprimer les autres accès tout en fournissant des API alternatives sûres. En vertu de ce changement, seules les applications VPN devraient accéder aux fichiers tcp, tcp6, udp, udp6 du répertoire proc/net/ et de ce fait, il est indiqué que les fichiers /proc/net/{tcp,tcp6,udp,udp6} seront renommés en proc_net_vpn. Les autres demandes d'accès seront auditées par le système.

C'est un très petit changement que les utilisateurs sont peu susceptibles de remarquer, mais les implications pour la vie privée des utilisateurs seront énormes. D'après XDA, ce changement devrait être implémenté dans une future préversion développeur d'Android P. À des fins de compatibilité, il semble que les applications ciblant les niveaux d'API inférieurs à 28 (avant Android P) pourront toujours surveiller l'activité réseau de votre appareil, jusqu'en 2019 où toutes les applications seront dans l'obligation de cibler le niveau API 28.

Sources : XDA, AOSP

Et vous ?

Saviez-vous que les applications sur Android avaient une telle possibilité de surveiller l'activité réseau des utilisateurs ?
En tant que développeur, comment cette possibilité peut-être utile ?

Voir aussi :

Certains fabricants des téléphones Android mentent à propos des mises à jour de sécurité, d'après des chercheurs de Security Research Lab
Android : trois applications de sécurité sur cinq n'offrent pas de protection réelle, selon une étude menée par AV-comparatives
Les appareils Android non certifiés par Google n'auraient plus accès aux applications et services officiels de la firme de Mountain View
Android Studio 3.1 est disponible en téléchargement, une mise à jour axée sur l'amélioration de la productivité des développeurs
Google annonce la disponibilité de la première préversion dédiée aux développeurs d'Android P, elle s'accompagne d'une multitude de nouveautés

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de ismart
Inactif https://www.developpez.com
Le 18/05/2018 à 22:28
Donc fondamentalement Google va simplement nous apporter trois fonctionnalités 'révolutionnaires', dont deux (l'un qui existe déjà depuis longtemps dans iOS et l'autre qui est simplement retardé) est essentiellement juste arraché d'Apple OS? Wow, vraiment innovant.
0  1