Android : deux tiers des applications populaires détourneraient des informations
Privées, d'après Intel Labs

Le , par Idelways, Expert éminent sénior
Connaitre les ressources et données auxquelles une application Android peut accéder est-il suffisant pour garantir la protection de la vie privée ?

Pas du tout. C'est en tout cas la conclusion d'une nouvelle étude menée par des chercheurs des Intel Labs, de l'Université de Pennsylvanie et de l'Université Duke (Caroline du nord).
Une étude qui vient s'ajouter à celle de SMobile Systems (un rapport qui pose par ailleurs question).

Cette étude repose sur « TaintDroid », un outil de proof-of-concept conçu spécialement pour analyser les manipulations des données, et sur 30 applications Android parmi les plus populaires.

TaintDroid analyse en temps réel les données sensibles collectées : positionnement GPS, numéro de téléphone, liste des contacts, le numéro d'identité internationale d'équipement mobile (IMEI) ou le numéro de série de la carte SIM.

Et les résultats sont, c'est le moins qu'on puisse dire, surprenants.

Pour télécharger une application Android, l'utilisateur doit certes valider une boite de dialogue listant les données et les ressources qui seront accessible à l'application. Mais cette liste n'explique pas ce que l'application fera - au juste - des données exposées.

Selon cette nouvelle étude, c'est bien là le problème. Deux tiers d'entre elles utiliseraient ces données de manière suspecte.

La moitié partagerait ainsi les données de positionnement à des compagnies de publicité ou à des serveurs d'analyse sans "le consentement explicite ou implicite de l'utilisateur".

Plus préoccupant, le tiers des applications étudiées révèleraient l'identifiant du Smartphone, parfois même accompagné du numéro de téléphone ou du numéro de série de la carte SIM.

En tout, les chercheurs ont trouvé 68 processus de détournement potentiel des données privées dans seulement 20 applications.

Pourtant, les applications doivent contenir un « Contrat de Licence Utilisateur Final (CLUF).

Or seule une partie des applications analysées (une minorité) affichent ce contrat sur le téléphone. Et parmi elles, aucune n'explique clairement l'usage qui sera fait des données manipulées.

De quoi pousser à revoir en profondeur le système de permission de l'OS de Google ?

Source : le rapport de l'étude (PDF, 840KO)

Et vous ?

Que pensez-vous de ces résultats ?
Quels changement dans le fonctionnement de l'Android Market préconiseriez-vous pour prévenir ces fuites d'informations ?

En collaboration avec Gordon Fowler


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de lequebecois79 lequebecois79 - Membre confirmé https://www.developpez.com
le 30/09/2010 à 14:06
commandité par intel....

meego propose quoi pour corriger cela?

la concurrence a quoi pour palier à ce problème? rien

il faudrait augmenter encore plus le niveau de granularité de la sécurité

c'est une question de confiance c'est tout... c'est idem pour n'importe qu'elle os...
Avatar de Julien Bodin Julien Bodin - Membre éclairé https://www.developpez.com
le 30/09/2010 à 14:17
Citation Envoyé par Guildem  Voir le message
Bah le mien (swift key, super bien fait au passage) en a besoin pour télécharger et mettre à jour la liste des mots et l'analyse des phrases pour la langue choisie, donc c'est justifié je trouve. A moins que je comprenne mal l'application que tu désignes par "un outil censé customiser son clavier" ?

+1, superbe appli
Avatar de Elepole Elepole - Membre éprouvé https://www.developpez.com
le 01/10/2010 à 0:27
Citation Envoyé par Idelways  Voir le message

Que pensez-vous de ces résultats ?

Previsible.

Citation Envoyé par Idelways  Voir le message

Quels changement dans le fonctionnement de l'Android Market préconiseriez-vous pour prévenir ces fuites d'informations ?

C'est pas le Market qu'il faudrait changé mais Android lui même, quel genre d'application a besoin d'avoir acces a l'IMEI ou au numero de serie de la carte sim ? Il devrait pas etre possible de manipuler ce type de donné dans une application.
Avatar de seeme seeme - Membre éclairé https://www.developpez.com
le 01/10/2010 à 9:23
Citation Envoyé par Elepole  Voir le message
Previsible.

C'est pas le Market qu'il faudrait changé mais Android lui même, quel genre d'application a besoin d'avoir acces a l'IMEI ou au numero de serie de la carte sim ? Il devrait pas etre possible de manipuler ce type de donné dans une application.

Dans certains cas tu as besoin de ces informations! L'imei est par exemple un des seul moyen d'identifier un téléphone (et donc de fabriquer des hash ou des clef de sécurité..)
Avatar de Sylvaner Sylvaner - Membre éclairé https://www.developpez.com
le 01/10/2010 à 11:27
En gros si on donne un accès internet pour Admob (Régie de pub), on va se retrouver dans son cas... L'application n'ayant pourtant pas pour but de détourner des informations.

Je pense en effet, qu'il y a des applications malhonnêtes mais faudrait peut être pas les mettre toutes dans le même panier sous prétexte qu'elles utilisent une permission mal comprise.
Avatar de seeme seeme - Membre éclairé https://www.developpez.com
le 01/10/2010 à 11:59
Je pense surtout que les permissions ne sont pas assez détaillées.

Par exemple, READ_PHONE_STATE permet de voir bien plus de chose que simplement "En communication/hors communication"..

Les 3/4 des gens pensent juste que c'est pour interrompre un jeu si on reçoit une communication.. (donc déjà, ça c'est régi par l'OS) sauf que ça permet aussi de lire les SMS, les mails, d'enregistrer de l'audio...
Avatar de GCSX_ GCSX_ - Membre confirmé https://www.developpez.com
le 01/10/2010 à 14:36
Ça montre bien l'efficacité du système de vérification des applis soumise à la publication de Google...
Avatar de blbird blbird - Membre éclairé https://www.developpez.com
le 02/10/2010 à 18:38
Citation Envoyé par GCSX_  Voir le message
Ça montre bien l'efficacité du système de vérification des applis soumise à la publication de Google...

Système de vérification introduit par Apple, mais qui ne sert à rien, à part limiter la liberté de tous. On en a jamais eu besoin sous Windows, je ne vois pas pourquoi on en aurait besoin sur un téléphone, s'il l'OS est bien pensé.
Avatar de tomlev tomlev - Rédacteur/Modérateur https://www.developpez.com
le 06/10/2010 à 1:13
Citation Envoyé par yezhouden  Voir le message
Dommage, le nom des applications n'est pas communiqué (ou alors j'ai mal lu).

dans le tableau en haut de la page 9

2 apps sent out the phone number, IMSI, and ICC-ID along with the
geo-coordinates to the app’s content server.

Ouais, c'est vrai que c'est un peu louche ça
Avatar de iznogoudmc iznogoudmc - Membre habitué https://www.developpez.com
le 06/10/2010 à 8:53
Juste à titre indicatif..... ce ne serait pas tout simplement la gestion des publicités via AdMob qui effraye tant ces "experts"
Avatar de tomlev tomlev - Rédacteur/Modérateur https://www.developpez.com
le 06/10/2010 à 17:21
En guise de prévention, avant que les fanboys Apple débarquent pour dire que "vous voyez, Android ça pue" (*), voilà une autre news intéressante...

Report: 68% of iPhone Apps Do Not Secure Your Personal Information

(*) Je suis un peu mauvaise langue, cette actu est là depuis une semaine et il n'y a encore aucun message de ce type...
Offres d'emploi IT
Ingénieur intégration, validation, qualification du système de drone H/F
Safran - Ile de France - Éragny (95610)
Architecte et intégrateur scade/simulink H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)
Ingénieur H/F
Safran - Ile de France - Moissy-Cramayel (77550)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil