Google supprime une fonctionnalité vitale pour la protection de la vie privée dans Android 4.4.2
L'EFF réagit
Le 2013-12-17 12:20:45, par Cedric Chevalier, Expert éminent sénior
Enfin ! Les utilisateurs d’Android avaient le pouvoir de dicter leur loi aux applications installées sur leur smartphone. L’élément à l’origine de cette prise de contrôle absolu : « App Ops ».
App Ops est une application qui permet de gérer les permissions des différentes applications qu’on installe sur son périphérique mobile Android. Par exemple, pour l’application sidecar, App Ops donne la possibilité à l’utilisateur d’empêcher que ne soient collectées ses données de géolocalisation, ou même encore que son carnet d’adresses ne soit consulté.
Les rapports de sécurité des différents acteurs majeurs dans le domaine pointent du doigt Android comme la plateforme mobile la plus touchée par les malwares. Ceci en grande partie à cause de la gestion chaotique des permissions des applications.
La venue d’App Ops, disponible sous Android 4.3 (Jelly Bean) et KiKat, était d’un intérêt capital pour le contrôle de la vie privée des utilisateurs. L’introduction de cette fonction avait été saluée par l'Electronic Frontier Foundation (EFF). Cependant, les utilisateurs ont noté son absence dans la mise à jour Android 4.4.2.
L’EFF a interrogé le géant de Mountain View sur la disparition subite de cette application. Ce à quoi Google a répondu : « C’était juste une fonctionnalité expérimentale qui pouvait nuire au bon fonctionnement des applications ».
Des questions se posent alors : pourquoi n’avoir pas fait une mise à jour en bonne et due forme d’App Ops ? Des enjeux économiques importants seraient-ils derrière la disparition d’App Ops ? La confidentialité des données des utilisateurs aurait-elle réellement de l’importance aux yeux de Google ?
On espère seulement qu’il s’agisse d’un malentendu et qu’App Ops fera rapidement son « come back ».
Source : EFF
Et vous ?
Qu'en pensez-vous ?
App Ops est une application qui permet de gérer les permissions des différentes applications qu’on installe sur son périphérique mobile Android. Par exemple, pour l’application sidecar, App Ops donne la possibilité à l’utilisateur d’empêcher que ne soient collectées ses données de géolocalisation, ou même encore que son carnet d’adresses ne soit consulté.
Les rapports de sécurité des différents acteurs majeurs dans le domaine pointent du doigt Android comme la plateforme mobile la plus touchée par les malwares. Ceci en grande partie à cause de la gestion chaotique des permissions des applications.
La venue d’App Ops, disponible sous Android 4.3 (Jelly Bean) et KiKat, était d’un intérêt capital pour le contrôle de la vie privée des utilisateurs. L’introduction de cette fonction avait été saluée par l'Electronic Frontier Foundation (EFF). Cependant, les utilisateurs ont noté son absence dans la mise à jour Android 4.4.2.
L’EFF a interrogé le géant de Mountain View sur la disparition subite de cette application. Ce à quoi Google a répondu : « C’était juste une fonctionnalité expérimentale qui pouvait nuire au bon fonctionnement des applications ».
Des questions se posent alors : pourquoi n’avoir pas fait une mise à jour en bonne et due forme d’App Ops ? Des enjeux économiques importants seraient-ils derrière la disparition d’App Ops ? La confidentialité des données des utilisateurs aurait-elle réellement de l’importance aux yeux de Google ?
On espère seulement qu’il s’agisse d’un malentendu et qu’App Ops fera rapidement son « come back ».
Source : EFF
Et vous ?
-
ArnardMembre émériteOn espère seulement qu’il s’agisse d’un malentendu et qu’App Ops fera rapidement son « come back ».
Avant que Google propose vraiment une fonctionnalité de ce type, il va passer du temps à mon avis. Si on craint pour ses données, il me semble que le projet Cyanogenmod était en train de mettre en place une telle feature. Je ne sais pas ce qu'il en est de la réalisation au finalle 18/12/2013 à 9:43 -
tchize_Expert éminent séniorPour moi, soit elles plantent (et au revoir) soit elles vivent avec. J'ai installé sur mon android une app qui permet justement de tuner les droit.... C'est fou ce que les applications on besoin comme droit. Faudra m'expliquer pourquoi le play store, par exemple, a besoin d'accéder à mon carnet d'adresse et de me géolocaliser..... Et il s'agit d'une application de base du smartphone, c'est pas comme si on avait demandé son avis à l'utilisateur....
Pourquoi facebook a besoin d'accéder à mes logs d'appels, à mon carnet d'adresse ou mon identifiant téléphone.... Il y a vraiment besoin de tout ça pour lire mes messages facebook ou répondre?
Pourquoi l'application belge pour avoir les horaires de train a besoin de me géolocaliser (et non, aucun des menus de l'application n'est customizé en fonction de ma position)
Pourquoi le réveil que j'ai installé à besoin de mon identifiant téléphone et d'accéder à internet....
Pour moi, ce genre d'outil permet d'utiliser les applications en question sans se faire joyeusement sodomiser. Moi je veux bien désinstaller facebook, non franchement. Malheureusement, j'ai des contact in-éducable qui s'obstinent à me contacter par là. le 19/12/2013 à 12:39 -
La gestion est très loin d'être "chaotique", c'est surtout que les applications peuvent accéder à énormément de privilèges. Et que personne ne fait attention à ce qu'elles demandent. Alors forcément, une lampe torche qui a besoin d'accéder au carnet d'adresse, il n'y a pas de problème de "gestion de permissions".
Il serait tout à fait imaginable que la gestion des privilèges par application ne "casse" pas le fonctionnement d'une appli.
Je m'explique :
- si je ne veux pas qu'elle accède à mes contacts, au lieu de lui donner la liste de mes contacts lorsqu'elle le demande, on lui donne une liste vide
- si je ne veux pas qu'elle accède à mes coordonnées GPS, on lui envoie des coordonnées bidons (0, 0 par exemple)
- si je ne veux pas qu'elle envoie de sms, on lui fait utiliser un objet ayant la même interface que l'objet permettant l'envoi de SMS sauf qu'il ne fait rien
- etc
Et si malgré tout cette application ne fonctionne plus correctement après que j'ai limité ces droits, libre à moi de la supprimer ou de lui ré-accorder ces droits. Donc pour moi Google supprime bien cette fonctionnalité (expérimentale certes) sous la pression des éditeurs d'applis qui veulent pouvoir continuer d'abuser en obligeant l'utilisateur à leur accorder des droits qui ne sont pas toujours nécessaires au bon fonctionnement de leurs logiciels (par exemple je ne vois pas pourquoi Angry bird a forcément besoin de connaitre ma position pour fonctionner mais j'ai quand même envie d'y jouer sans lui donner).le 18/12/2013 à 19:39 -
Lors des mises à jour, si l'application demande de nouveaux privilèges, ceux-ci sont indiqués explicitement. Pour rappel, sous Android, une app ne peut être mise à jour automatiquement si elle demande un nouveau privilège. De même, en choisissant de "tout mettre à jour", une fenêtre informe des nouvelles demandes permettant de ne pas le faire.
Il n'y a donc pas de "gestion chaotique".Ces propositions ont souvent été proposées mais ne sont que du pur bricolage. Exemple simplifé : liste vide pour les contacts ? On passe sur le comportement incohérent mais si mon app fait appel au quickcontact ou au contactpicker, mon app récupère un id de contact (sauf cas extrême où un utilisateur aurai par soucis de protection de sa vie privée interdit l'accès à ses contacts aux apps de gestion de contact). J'ai un id, j'interroge le dataprovider qui donc me retourne une liste vide. Sauf que comme j'ai un id, je récupère les données du premier élément... OutOfBoundException -> plantage.Sauf que dans la pratique, l'utilisateur, qui maitrise super bien son appareil verra une app planter et une conséquence sera la mauvaise note sur le store et le flammage en règle. En tant qu'éditeur, si je me rends compte que je me fais descendre du fait du choix de SciptKiddies reposant sur une fonctionnalité mal gérée par Google, la conséquence sera de fuir la plate forme pour la concurrence. Google a conscience de ça, bien plus que la soi-disante pression des apps "abusives".
Selon moi c'est Google qui devrait intégrer cette fonctionnalité au cœur de son système (et pas SciptKiddies). Et rien ne l'oblige à "mal gérer cette fonction", ils ont les compétences pour bien le faire. Mais tu as raison, certains éditeurs le verraient d'un mauvais oeil d'où la pression des éditeurs.Et les posts ici sur un forum "de développeurs et d'IT pro" qui sont persuadés qu'App Ops est proposé par Google ou qui se posent la question sur le bien fondé du retrait de cette fonction confirme Google a eu raison de supprimer cette fonction.C'est ce que je trouve fascinant dans la dépendance aux produits futiles, c'est le fait que l'utilisateur a conscience que l'app/éditeur va abuser de sa confiance, mais préfère assouvir sa pulsion de consomateurle 19/12/2013 à 0:29 -
vampirellaMembre éclairéEt c'est au développeur de faire un code correct avec des "catch" pour gérer les NullPointerExc. et penser à tous les cas possibles, même une interruption momentanée / définitive d'Internet pour X raisons.
Si l'ensemble des applications smartphone étaient mieux codées / plus honnête, peut-être que "App Ops" n'aurait pas eu autant de succès. Un exemple parmi d'autres : l'utilisation intempestive de bande-passante / batterie pour une application n'ayant aucun besoin sur le moment d'une connexion internet.le 19/12/2013 à 10:08 -
tchize_Expert éminent séniorLes firewall android, c'est pratique: Ho tu veux du réseau. Pas de problème, t'as tous les droit. Mais attention, TON réseau aboutit à rien.
D'ailleurs c'est super efficace pour virer la pub des applisle 20/12/2013 à 21:33 -
therwaldMembre expérimentéRassure toi, je ne t'infligerai aucune charge supplémentaire, car je n'installerai aucune de tes applications qui veulent accéder à ma correspondance et à mon compte en banque sous prétexte d'afficher l'heure!
Si Android est un écosystème de gens qui jugent trop coûteux de m'accorder le droit de surveiller ce à quoi je leur donne accès en terme d'utilisation de mes contacts, de mes données perso (certains smartphones contiennent du bancaire!), d'accès au réseau sans contrôle possible, alors Android est un écosystème que je ne peux pas me permettre d'utiliser, car finalement il m'oblige à accepter trop de risques.
Je lis un poste ou on me demande de passer en mode avion pour empêcher des applications d'accéder au réseau dans mon dos. Nombre d'applis android sont terminate and stay resident...donc vous me suggérez de mettre en permancence le système en mode avion...vous êtes sérieux? Ca vous a peut-être échappé, mais un smartPHONE c'est un téléphone. Mon but numéro un avec ce truc c'est d'être joignable!le 20/12/2013 à 20:57 -
HardBluesMembre actifPlus ça va plus Google m’exaspère, j'aimerai vraiment que le père Noel fasse quelque chose pour qu'on puisse bientôt avoir un vrai système libre sur Smartphonele 18/12/2013 à 10:33
-
Atem18Membre avertiIl me semble avoir lu que Google allait réintroduire cette fonctionnalité, mais en version stable.le 18/12/2013 à 11:49
-
RoadkillerMembre régulierle 18/12/2013 à 12:49