Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Android : deux tiers des applications populaires détourneraient des informations
Privées, d'après Intel Labs

Le , par Idelways

0PARTAGES

5  0 
Connaitre les ressources et données auxquelles une application Android peut accéder est-il suffisant pour garantir la protection de la vie privée ?

Pas du tout. C'est en tout cas la conclusion d'une nouvelle étude menée par des chercheurs des Intel Labs, de l'Université de Pennsylvanie et de l'Université Duke (Caroline du nord).
Une étude qui vient s'ajouter à celle de SMobile Systems (un rapport qui pose par ailleurs question).

Cette étude repose sur « TaintDroid », un outil de proof-of-concept conçu spécialement pour analyser les manipulations des données, et sur 30 applications Android parmi les plus populaires.

TaintDroid analyse en temps réel les données sensibles collectées : positionnement GPS, numéro de téléphone, liste des contacts, le numéro d'identité internationale d'équipement mobile (IMEI) ou le numéro de série de la carte SIM.

Et les résultats sont, c'est le moins qu'on puisse dire, surprenants.

Pour télécharger une application Android, l'utilisateur doit certes valider une boite de dialogue listant les données et les ressources qui seront accessible à l'application. Mais cette liste n'explique pas ce que l'application fera - au juste - des données exposées.

Selon cette nouvelle étude, c'est bien là le problème. Deux tiers d'entre elles utiliseraient ces données de manière suspecte.

La moitié partagerait ainsi les données de positionnement à des compagnies de publicité ou à des serveurs d'analyse sans "le consentement explicite ou implicite de l'utilisateur".

Plus préoccupant, le tiers des applications étudiées révèleraient l'identifiant du Smartphone, parfois même accompagné du numéro de téléphone ou du numéro de série de la carte SIM.

En tout, les chercheurs ont trouvé 68 processus de détournement potentiel des données privées dans seulement 20 applications.

Pourtant, les applications doivent contenir un « Contrat de Licence Utilisateur Final (CLUF).

Or seule une partie des applications analysées (une minorité) affichent ce contrat sur le téléphone. Et parmi elles, aucune n'explique clairement l'usage qui sera fait des données manipulées.

De quoi pousser à revoir en profondeur le système de permission de l'OS de Google ?

Source : le rapport de l'étude (PDF, 840KO)

Et vous ?

Que pensez-vous de ces résultats ?
Quels changement dans le fonctionnement de l'Android Market préconiseriez-vous pour prévenir ces fuites d'informations ?

En collaboration avec Gordon Fowler

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de _skip
Expert éminent https://www.developpez.com
Le 30/09/2010 à 13:36
Perso j'ai renoncé à utiliser une application de clavier pour mon HTC parce que celle-ci demandait l'accès internet.
Un accès internet pour un outil censé customiser son clavier hum... Ca sentait légèrement le keylogger.
6  0 
Avatar de seeme
Membre éclairé https://www.developpez.com
Le 30/09/2010 à 12:01
Ces résultats ne me surprennent absolument pas...

Quand je vois certaines applications qui ont besoin de ressources pour afficher 2 images.. Ça pose un problème.

On a accès à énormément d'informations quand on développe sous android, et la possibilité de manipulation des données est très grande (envoie à des serveurs tiers, analyse directement sur le téléphone..).

Même si les éditeurs ajoutaient un message pour justifier l'utilisation de certaines permissions, je ne pense pas que ça changerait grand chose...

Exemple, il existe une permission brick qui permet de briquer le téléphone (utilisée pour du débogage, ce genre de choses). Je ne pense pas qu'on puisse publier une application sur le market avec cette permission, mais je suis sûr que beaucoup de gens l'installeraient sans se poser de question si le contenu est.. aguicheur par exemple..

La seule solution serait un contrôle humain systématique (au moins pour voir qu'un logiciel boiteàmeuhesque n'a pas besoin du numéro de carte sim, de l'imei et de la position satellite...).
5  0 
Avatar de Sylvaner
Membre éclairé https://www.developpez.com
Le 01/10/2010 à 11:27
En gros si on donne un accès internet pour Admob (Régie de pub), on va se retrouver dans son cas... L'application n'ayant pourtant pas pour but de détourner des informations.

Je pense en effet, qu'il y a des applications malhonnêtes mais faudrait peut être pas les mettre toutes dans le même panier sous prétexte qu'elles utilisent une permission mal comprise.
1  0 
Avatar de seeme
Membre éclairé https://www.developpez.com
Le 01/10/2010 à 11:59
Je pense surtout que les permissions ne sont pas assez détaillées.

Par exemple, READ_PHONE_STATE permet de voir bien plus de chose que simplement "En communication/hors communication"..

Les 3/4 des gens pensent juste que c'est pour interrompre un jeu si on reçoit une communication.. (donc déjà, ça c'est régi par l'OS) sauf que ça permet aussi de lire les SMS, les mails, d'enregistrer de l'audio...
1  0 
Avatar de yezhouden
Membre régulier https://www.developpez.com
Le 30/09/2010 à 13:57
Dommage, le nom des applications n'est pas communiqué (ou alors j'ai mal lu).
0  0 
Avatar de air-dex
Membre expert https://www.developpez.com
Le 30/09/2010 à 14:00
Citation Envoyé par Idelways Voir le message

Quels changement dans le fonctionnement de l'Android Market préconiseriez-vous pour prévenir ces fuites d'informations ?
La politique de confidentialité du propriétaire.

De toutes façons, même s'il y avait un CLUF qui précise que l'appli a accès à ces données, le problème ne pourrait pas être résolu. Le plus important pour celui qui achète cela, c'est la boîte à meuh et pas cette autorisation de BigBrothage ennuyeuse à lire.
0  0 
Avatar de Guildem
Membre habitué https://www.developpez.com
Le 30/09/2010 à 14:03
Citation Envoyé par _skip Voir le message
Perso j'ai renoncé à utiliser une application de clavier pour mon HTC parce que celle-ci demandait l'accès internet.
Un accès internet pour un outil censé customiser son clavier hum... Ca sentait légèrement le keylogger.
Bah le mien (swift key, super bien fait au passage) en a besoin pour télécharger et mettre à jour la liste des mots et l'analyse des phrases pour la langue choisie, donc c'est justifié je trouve. A moins que je comprenne mal l'application que tu désignes par "un outil censé customiser son clavier" ?
0  0 
Avatar de Julien Bodin
Membre éclairé https://www.developpez.com
Le 30/09/2010 à 14:17
Citation Envoyé par Guildem Voir le message
Bah le mien (swift key, super bien fait au passage) en a besoin pour télécharger et mettre à jour la liste des mots et l'analyse des phrases pour la langue choisie, donc c'est justifié je trouve. A moins que je comprenne mal l'application que tu désignes par "un outil censé customiser son clavier" ?
+1, superbe appli
0  0 
Avatar de Elepole
Membre éprouvé https://www.developpez.com
Le 01/10/2010 à 0:27
Citation Envoyé par Idelways Voir le message


Que pensez-vous de ces résultats ?

Previsible.

Citation Envoyé par Idelways Voir le message


Quels changement dans le fonctionnement de l'Android Market préconiseriez-vous pour prévenir ces fuites d'informations ?

C'est pas le Market qu'il faudrait changé mais Android lui même, quel genre d'application a besoin d'avoir acces a l'IMEI ou au numero de serie de la carte sim ? Il devrait pas etre possible de manipuler ce type de donné dans une application.
0  0 
Avatar de seeme
Membre éclairé https://www.developpez.com
Le 01/10/2010 à 9:23
Citation Envoyé par Elepole Voir le message
Previsible.

C'est pas le Market qu'il faudrait changé mais Android lui même, quel genre d'application a besoin d'avoir acces a l'IMEI ou au numero de serie de la carte sim ? Il devrait pas etre possible de manipuler ce type de donné dans une application.
Dans certains cas tu as besoin de ces informations! L'imei est par exemple un des seul moyen d'identifier un téléphone (et donc de fabriquer des hash ou des clef de sécurité..)
0  0