Developpez.com

Le Club des Développeurs et IT Pro

Android : les applications peuvent copier des données à l'insu des utilisateurs

Les OS mobiles sont-ils trop peu sécurisés ?

Le 2012-03-04 20:32:24, par Sarah Mendès, Membre chevronné
Le New York Times vient de révéler que des applications Android seraient capables de copier les photos des mobinautes sans leur autorisation.

Le quotidien a chargé un développeur de créer une application test qui, une fois connectée à Internet, a pu accéder à des photos et les publier sur le Web à l'insu de l'utilisateur.

Suite à cette preuve de faisabilité, Google a reconnu la faille et a indiqué au journal qu'il allait envisager une "nouvelle approche" pour résoudre le problème. D'après l'un de ses portes-paroles, "cette absence de restriction était un choix lié au système de stockage des premiers modèles de smartphones Android qui reposaient sur des cartes mémoires externes, ce qui compliquait l'accès aux photos".


Cette histoire rappelle celle de iOS, l'OS mobile d'Apple pour iPhone et iPad, qui était suspecté de permettre de piocher dans les carnets d'adresses des utilisateurs sans autorisation.

Un bloggeur avait en effet accusé en début d'année le réseau social mobile Path de lui avoir dérobé ses contacts via cette faille. Une accusation qui touchait également des sites populaires comme Twitter ou Foursquare.

Apple avait alors pris une semaine pour investiguer et réagir par la voix de son porte-parole Tom Neumayr.

Le Responsable de la Communication et des Relations Publiques du constructeur avait finalement admis dans le Wall Street Journal que des applications pouvaient accéder aux données. Une possibilité, précisait-il, en totale violation de la politique et du guide des bonnes pratiques qu'Apple impose aux développeurs.

Tom Neumayr avait également promis de rectifier cette faille dans une mise à jour future d'iOS pour que "n'importe quelle application souhaitant accéder aux données privées soit obligée d'avoir l'autorisation explicite de l'utilisateur".

Après les révélations du New York Times, Google a précisé (tout comme Apple en février) qu'une mise à jour serait disponible pour corriger ce dysfonctionnement. Sans toutefois donner de date précise pour ce pacth très attendu.

Sources : New York Times, Wall StreetJournal

Et vous ?

Trouvez-vous que les OS mobiles soient assez sécurisés ? Notamment pour des usages professionnels ?
  Discussion forum
7 commentaires
  • adiGuba
    Expert éminent sénior
    Salut,

    Envoyé par GCSX_
    Pour répondre à la question, à l'heure actuelle l'OS mobile le plus fiable à ce niveau là semble bien être Windows Phone 7. Les applications issues du MarketPlace ne peuvent accéder aux données qu'au travers des APIs fournies (et donc demander l'autorisation)
    C'est la même chose sur Android...

    Envoyé par GCSX_
    et à l'heure actuelle aucune application certifiée n'a contourné ce système (du moins à ma connaissance).
    Ca c'est autre chose. Je ne pense pas que l'on puisse garantir qu'un système soit 100% fiable...

    Envoyé par GCSX_
    Evidemment, les applications qui ne proviennent pas du MarketPlace peuvent facilement contourner ce système via l'interropérabilité avec du code natif ou via réflexion.
    Sous Android tu as la listes des permissions requises par l'application lorsque tu l'installes. Que ce soit via le market ou pas...

    Envoyé par Flaburgan
    personnellement, J'attendrai impatiemment là sortie de boot to gecko pour virer Android de mon téléphone
    Boot2Gecko, Android, iOS ou Windows Phone le problème reste le même : les applications...

    a++
    le 06/03/2012 à 8:38
  • Flaburgan
    Modérateur
    personnellement, J'attendrai impatiemment là sortie de boot to gecko pour virer Android de mon téléphone
    le 06/03/2012 à 8:18
  • Flaburgan
    Modérateur
    Envoyé par adiGuba
    Boot2Gecko, Android, iOS ou Windows Phone le problème reste le même : les applications...
    Oui, mais la manière de les gérer différe selon les OS, et il faut reconnaître que c'est windows phone qui est en avance pour ça pour l'instant.
    le 06/03/2012 à 9:53
  • adiGuba
    Expert éminent sénior
    Envoyé par Flaburgan
    Oui, mais la manière de les gérer différe selon les OS, et il faut reconnaître que c'est windows phone qui est en avance pour ça pour l'instant.
    Juste par curiosité : c'est géré comment sur Windows Phone ?

    a++
    le 06/03/2012 à 10:45
  • Flaburgan
    Modérateur
    Envoyé par adiGuba
    Juste par curiosité : c'est géré comment sur Windows Phone ?

    a++
    Je n'ai pas le temps là mais je crois qu'il y a la réponse ici.

    J'édite ce message quand j'aurai le temps.
    le 09/03/2012 à 21:32
  • adiGuba
    Expert éminent sénior
    En gros si je comprend bien les applications doivent déclarer des "Capabilities" afin de pouvoir utiliser certaines fonctionnalités...

    Dans ce cas c'est exactement la même chose sur Android, où on doit valider les autorisations d'une application avant de l'installer.

    a++
    le 10/03/2012 à 19:39
  • GCSX_
    Membre confirmé
    Savez-vous si ce patch couvrira toutes les version d'Android ou seulement les dernières?

    Pour répondre à la question, à l'heure actuelle l'OS mobile le plus fiable à ce niveau là semble bien être Windows Phone 7. Les applications issues du MarketPlace ne peuvent accéder aux données qu'au travers des APIs fournies (et donc demander l'autorisation) et à l'heure actuelle aucune application certifiée n'a contourné ce système (du moins à ma connaissance).

    Evidemment, les applications qui ne proviennent pas du MarketPlace peuvent facilement contourner ce système via l'interropérabilité avec du code natif ou via réflexion.

    D'où l'importance pour les possesseurs de Windows Phone soucieux de protéger leurs données de se fournir en applis sur la gallerie.
    le 05/03/2012 à 19:18
  Poster une réponse