Android : les applications peuvent copier des données à l'insu des utilisateurs
Les OS mobiles sont-ils trop peu sécurisés ?

Le , par Sarah Mendès, Membre chevronné
Le New York Times vient de révéler que des applications Android seraient capables de copier les photos des mobinautes sans leur autorisation.

Le quotidien a chargé un développeur de créer une application test qui, une fois connectée à Internet, a pu accéder à des photos et les publier sur le Web à l'insu de l'utilisateur.

Suite à cette preuve de faisabilité, Google a reconnu la faille et a indiqué au journal qu'il allait envisager une "nouvelle approche" pour résoudre le problème. D'après l'un de ses portes-paroles, "cette absence de restriction était un choix lié au système de stockage des premiers modèles de smartphones Android qui reposaient sur des cartes mémoires externes, ce qui compliquait l'accès aux photos".


Cette histoire rappelle celle de iOS, l'OS mobile d'Apple pour iPhone et iPad, qui était suspecté de permettre de piocher dans les carnets d'adresses des utilisateurs sans autorisation.

Un bloggeur avait en effet accusé en début d'année le réseau social mobile Path de lui avoir dérobé ses contacts via cette faille. Une accusation qui touchait également des sites populaires comme Twitter ou Foursquare.

Apple avait alors pris une semaine pour investiguer et réagir par la voix de son porte-parole Tom Neumayr.

Le Responsable de la Communication et des Relations Publiques du constructeur avait finalement admis dans le Wall Street Journal que des applications pouvaient accéder aux données. Une possibilité, précisait-il, en totale violation de la politique et du guide des bonnes pratiques qu'Apple impose aux développeurs.

Tom Neumayr avait également promis de rectifier cette faille dans une mise à jour future d'iOS pour que "n'importe quelle application souhaitant accéder aux données privées soit obligée d'avoir l'autorisation explicite de l'utilisateur".

Après les révélations du New York Times, Google a précisé (tout comme Apple en février) qu'une mise à jour serait disponible pour corriger ce dysfonctionnement. Sans toutefois donner de date précise pour ce pacth très attendu.

Sources : New York Times, Wall StreetJournal

Et vous ?

Trouvez-vous que les OS mobiles soient assez sécurisés ? Notamment pour des usages professionnels ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de GCSX_ GCSX_ - Membre confirmé https://www.developpez.com
le 05/03/2012 à 19:18
Savez-vous si ce patch couvrira toutes les version d'Android ou seulement les dernières?

Pour répondre à la question, à l'heure actuelle l'OS mobile le plus fiable à ce niveau là semble bien être Windows Phone 7. Les applications issues du MarketPlace ne peuvent accéder aux données qu'au travers des APIs fournies (et donc demander l'autorisation) et à l'heure actuelle aucune application certifiée n'a contourné ce système (du moins à ma connaissance).

Evidemment, les applications qui ne proviennent pas du MarketPlace peuvent facilement contourner ce système via l'interropérabilité avec du code natif ou via réflexion.

D'où l'importance pour les possesseurs de Windows Phone soucieux de protéger leurs données de se fournir en applis sur la gallerie.
Avatar de Flaburgan Flaburgan - Modérateur https://www.developpez.com
le 06/03/2012 à 8:18
personnellement, J'attendrai impatiemment là sortie de boot to gecko pour virer Android de mon téléphone
Avatar de adiGuba adiGuba - Expert éminent sénior https://www.developpez.com
le 06/03/2012 à 8:38
Salut,

Citation Envoyé par GCSX_  Voir le message
Pour répondre à la question, à l'heure actuelle l'OS mobile le plus fiable à ce niveau là semble bien être Windows Phone 7. Les applications issues du MarketPlace ne peuvent accéder aux données qu'au travers des APIs fournies (et donc demander l'autorisation)

C'est la même chose sur Android...

Citation Envoyé par GCSX_  Voir le message
et à l'heure actuelle aucune application certifiée n'a contourné ce système (du moins à ma connaissance).

Ca c'est autre chose. Je ne pense pas que l'on puisse garantir qu'un système soit 100% fiable...

Citation Envoyé par GCSX_  Voir le message
Evidemment, les applications qui ne proviennent pas du MarketPlace peuvent facilement contourner ce système via l'interropérabilité avec du code natif ou via réflexion.

Sous Android tu as la listes des permissions requises par l'application lorsque tu l'installes. Que ce soit via le market ou pas...

Citation Envoyé par Flaburgan  Voir le message
personnellement, J'attendrai impatiemment là sortie de boot to gecko pour virer Android de mon téléphone

Boot2Gecko, Android, iOS ou Windows Phone le problème reste le même : les applications...

a++
Avatar de Flaburgan Flaburgan - Modérateur https://www.developpez.com
le 06/03/2012 à 9:53
Citation Envoyé par adiGuba  Voir le message
Boot2Gecko, Android, iOS ou Windows Phone le problème reste le même : les applications...

Oui, mais la manière de les gérer différe selon les OS, et il faut reconnaître que c'est windows phone qui est en avance pour ça pour l'instant.
Avatar de adiGuba adiGuba - Expert éminent sénior https://www.developpez.com
le 06/03/2012 à 10:45
Citation Envoyé par Flaburgan  Voir le message
Oui, mais la manière de les gérer différe selon les OS, et il faut reconnaître que c'est windows phone qui est en avance pour ça pour l'instant.

Juste par curiosité : c'est géré comment sur Windows Phone ?

a++
Avatar de Flaburgan Flaburgan - Modérateur https://www.developpez.com
le 09/03/2012 à 21:32
Citation Envoyé par adiGuba  Voir le message
Juste par curiosité : c'est géré comment sur Windows Phone ?

a++

Je n'ai pas le temps là mais je crois qu'il y a la réponse ici.

J'édite ce message quand j'aurai le temps.
Avatar de adiGuba adiGuba - Expert éminent sénior https://www.developpez.com
le 10/03/2012 à 19:39
En gros si je comprend bien les applications doivent déclarer des "Capabilities" afin de pouvoir utiliser certaines fonctionnalités...

Dans ce cas c'est exactement la même chose sur Android, où on doit valider les autorisations d'une application avant de l'installer.

a++
Offres d'emploi IT
Développeur Web FULL-STACK
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
RESPONSABLE WEB ANALYTICS F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
Développeur WEB PHP F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil