Android : les applications peuvent copier des données à l'insu des utilisateurs
Les OS mobiles sont-ils trop peu sécurisés ?
Le 2012-03-04 20:32:24, par Sarah Mendès, Membre chevronné
Le New York Times vient de révéler que des applications Android seraient capables de copier les photos des mobinautes sans leur autorisation.
Le quotidien a chargé un développeur de créer une application test qui, une fois connectée à Internet, a pu accéder à des photos et les publier sur le Web à l'insu de l'utilisateur.
Suite à cette preuve de faisabilité, Google a reconnu la faille et a indiqué au journal qu'il allait envisager une "nouvelle approche" pour résoudre le problème. D'après l'un de ses portes-paroles, "cette absence de restriction était un choix lié au système de stockage des premiers modèles de smartphones Android qui reposaient sur des cartes mémoires externes, ce qui compliquait l'accès aux photos".
Cette histoire rappelle celle de iOS, l'OS mobile d'Apple pour iPhone et iPad, qui était suspecté de permettre de piocher dans les carnets d'adresses des utilisateurs sans autorisation.
Un bloggeur avait en effet accusé en début d'année le réseau social mobile Path de lui avoir dérobé ses contacts via cette faille. Une accusation qui touchait également des sites populaires comme Twitter ou Foursquare.
Apple avait alors pris une semaine pour investiguer et réagir par la voix de son porte-parole Tom Neumayr.
Le Responsable de la Communication et des Relations Publiques du constructeur avait finalement admis dans le Wall Street Journal que des applications pouvaient accéder aux données. Une possibilité, précisait-il, en totale violation de la politique et du guide des bonnes pratiques qu'Apple impose aux développeurs.
Tom Neumayr avait également promis de rectifier cette faille dans une mise à jour future d'iOS pour que "n'importe quelle application souhaitant accéder aux données privées soit obligée d'avoir l'autorisation explicite de l'utilisateur".
Après les révélations du New York Times, Google a précisé (tout comme Apple en février) qu'une mise à jour serait disponible pour corriger ce dysfonctionnement. Sans toutefois donner de date précise pour ce pacth très attendu.
Sources : New York Times, Wall StreetJournal
Et vous ?
Trouvez-vous que les OS mobiles soient assez sécurisés ? Notamment pour des usages professionnels ?
Le quotidien a chargé un développeur de créer une application test qui, une fois connectée à Internet, a pu accéder à des photos et les publier sur le Web à l'insu de l'utilisateur.
Suite à cette preuve de faisabilité, Google a reconnu la faille et a indiqué au journal qu'il allait envisager une "nouvelle approche" pour résoudre le problème. D'après l'un de ses portes-paroles, "cette absence de restriction était un choix lié au système de stockage des premiers modèles de smartphones Android qui reposaient sur des cartes mémoires externes, ce qui compliquait l'accès aux photos".
Cette histoire rappelle celle de iOS, l'OS mobile d'Apple pour iPhone et iPad, qui était suspecté de permettre de piocher dans les carnets d'adresses des utilisateurs sans autorisation.
Un bloggeur avait en effet accusé en début d'année le réseau social mobile Path de lui avoir dérobé ses contacts via cette faille. Une accusation qui touchait également des sites populaires comme Twitter ou Foursquare.
Apple avait alors pris une semaine pour investiguer et réagir par la voix de son porte-parole Tom Neumayr.
Le Responsable de la Communication et des Relations Publiques du constructeur avait finalement admis dans le Wall Street Journal que des applications pouvaient accéder aux données. Une possibilité, précisait-il, en totale violation de la politique et du guide des bonnes pratiques qu'Apple impose aux développeurs.
Tom Neumayr avait également promis de rectifier cette faille dans une mise à jour future d'iOS pour que "n'importe quelle application souhaitant accéder aux données privées soit obligée d'avoir l'autorisation explicite de l'utilisateur".
Après les révélations du New York Times, Google a précisé (tout comme Apple en février) qu'une mise à jour serait disponible pour corriger ce dysfonctionnement. Sans toutefois donner de date précise pour ce pacth très attendu.
Sources : New York Times, Wall StreetJournal
Et vous ?
-
adiGubaExpert éminent séniorSalut,
C'est la même chose sur Android...
Ca c'est autre chose. Je ne pense pas que l'on puisse garantir qu'un système soit 100% fiable...
Sous Android tu as la listes des permissions requises par l'application lorsque tu l'installes. Que ce soit via le market ou pas...
Boot2Gecko, Android, iOS ou Windows Phone le problème reste le même : les applications...
a++le 06/03/2012 à 8:38 -
FlaburganModérateurpersonnellement, J'attendrai impatiemment là sortie de boot to gecko pour virer Android de mon téléphonele 06/03/2012 à 8:18
-
FlaburganModérateurOui, mais la manière de les gérer différe selon les OS, et il faut reconnaître que c'est windows phone qui est en avance pour ça pour l'instant.le 06/03/2012 à 9:53
-
adiGubaExpert éminent séniorle 06/03/2012 à 10:45
-
FlaburganModérateurJe n'ai pas le temps là mais je crois qu'il y a la réponse ici.
J'édite ce message quand j'aurai le temps.le 09/03/2012 à 21:32 -
adiGubaExpert éminent séniorEn gros si je comprend bien les applications doivent déclarer des "Capabilities" afin de pouvoir utiliser certaines fonctionnalités...
Dans ce cas c'est exactement la même chose sur Android, où on doit valider les autorisations d'une application avant de l'installer.
a++le 10/03/2012 à 19:39 -
GCSX_Membre confirméSavez-vous si ce patch couvrira toutes les version d'Android ou seulement les dernières?
Pour répondre à la question, à l'heure actuelle l'OS mobile le plus fiable à ce niveau là semble bien être Windows Phone 7. Les applications issues du MarketPlace ne peuvent accéder aux données qu'au travers des APIs fournies (et donc demander l'autorisation) et à l'heure actuelle aucune application certifiée n'a contourné ce système (du moins à ma connaissance).
Evidemment, les applications qui ne proviennent pas du MarketPlace peuvent facilement contourner ce système via l'interropérabilité avec du code natif ou via réflexion.
D'où l'importance pour les possesseurs de Windows Phone soucieux de protéger leurs données de se fournir en applis sur la gallerie.le 05/03/2012 à 19:18