Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Android : une faille permet aux applications de prendre des photos à l'insu des utilisateurs
Et éventuellement les stocker sur un serveur distant

Le , par Stéphane le calme

16PARTAGES

6  1 
En explorant les limites de la collecte de données pour un projet d’équipe universitaire qui suggérait grosso modo d’utiliser les caméras sur les ordinateurs sans en allumer les voyants lumineux, Szymon Sidor, un chercheur en sécurité, a accidentellement mis le doigt sur une importante faille de sécurité pouvant affecter le système d’exploitation mobile de Mountain View.

« Ce que je voulais, c’était prendre des photos à l’insu de l’utilisateur, à n’importe quel moment, pas seulement quand l’application était en cours d’utilisation », a-t-il expliqué. La première chose qu’il a faite a été d’effectuer une recherche sur le sujet. Il en est sorti que l’utilisation de la caméra sur Android n’impose pas à l’application d’apparaître forcément en arrière-plan mais requiert malgré tout l’affichage d’un aperçu sur l’écran de l’utilisateur. Il s’agit là d’un moyen de veiller à ce que les utilisateurs sachent que leur caméra est en cours d’utilisation afin de ne pas prendre des photos/vidéos d’eux à leur insu.

Et c’est à ce niveau qu’intervient son petit tour ; Sidor a réduit l’affichage de l’aperçu à 1x1 pixel, rendant impossible de discerner l’aperçu sur l’écran de son smartphone et laissant à l’application le loisir de télécharger les photos capturées ailleurs. De cette façon, même lorsque l’écran du smartphone est inactif, l’application est capable de prendre des photos sans alerter l’utilisateur et potentiellement de transmettre les clichés en toute discrétion vers un serveur distant. L'application est également capable de capturer d'autres détails de l'appareil, tels que le niveau de la batterie (crucial pour aider à éviter la détection de l'application via le drain de la batterie), et même l'emplacement actuel de l'appareil. Regardez donc la démo.


« Le résultat a été incroyable et effrayant en même temps - le pixel est pratiquement impossible à repérer sur l’écran du Nexus 5 (même si vous savez où chercher) ! En outre, il s'est avéré que même si vous éteignez votre écran, vous pourrez toujours prendre des photos, aussi longtemps que le pixel est là », a-t-il précisé.

Par la suite il prodigue quelques conseils, notamment vérifier les permissions des applications suspectes dans les paramètres d’Android et retirer l’accès à la caméra pour les applications dont la vocation n’a rien à y voir. Étant donné qu’il est possible d’installer des applications à l’insu de l’utilisateur, il recommande également d’adopter l’authentification à deux facteurs afin de mieux protéger son compte Google, mais aussi de changer son mot de passe de temps en temps et d’en établir des solides.

Il recommande également de prendre l’habitude de désinstaller les applications inutilisées et de surveiller le comportement de votre pile et de votre réseau : une importante consommation électrique et une transmission de données élevée sont des symptômes de l’exploitation de cette faille. Enfin, il rappelle qu’il faut surveiller les applications indésirables qui fonctionnent en arrière-plan.

A la fin, après des critiques constructives, il s’adresse en ces mots à l’équipe de sécurité d’Android : « s’il vous plaît, faites plus d’efforts pour assurer la vie privée des utilisateurs ».

Source : blog Sidor

Et vous ?

Qu'en pensez-vous ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Voïvode
Membre émérite https://www.developpez.com
Le 27/05/2014 à 2:07
C’est une grosse faiblesse de l’API qui doit être corrigée, mais je ne considère pas cela comme une faille. Pour moi, une faille est une vulnérabilité qui peut être exploitée dans les logiciels déjà utilisés (par le biais d'un fichier PDF, d'une injection SQL, d'une commande qui provoque une élévation de privilèges, etc).

Ici, il faut télécharger une application malveillante qui accède à l'appareil photo sans raison pour se faire avoir. Comme d’habitude, si on télécharge n’importe quoi, il peut nous arriver n’importe quoi.
3  0 
Avatar de pierre++
Membre actif https://www.developpez.com
Le 28/05/2014 à 11:40
Le problème est que sur la plupart des applications android il faut, si on veut les utiliser, donner des droits qui ne sont pas directement liés à l'application, et ce sans savoir pourquoi ils sont demandés.
Ce qui fait que 99% des applications sont susceptibles de contenir du code étranger à l'usage que l'on attend de l'application téléchargée, donc potentiellement 99% des applis sont malveillantes
Seule solution (IMHO) est d'utiliser des applis opensources
1  0 
Avatar de bytecode
Membre actif https://www.developpez.com
Le 26/05/2014 à 20:12
Je dit chapeau belle découverte !!! je n'ai pas de smartphone androïde m'a toujours fait penser a un Windows 95 en termes de sécurité. un système jeune vite fait pour être rentable vite face aux autres "la sécurité bah on verra ça plus tard..."
1  1 
Avatar de Battant
Membre averti https://www.developpez.com
Le 30/05/2014 à 10:30
Bonjour,

Il y a quelques temps, j'ai acheté une tablette Android avec la 3g parce qu'il me reste plus qu'une au magasin avec cette option. On souhaiterait était d'avoir une tablette Linux. Je n'aime pas Microsoft parce qu'ils dominent trop le marché des PC et je n'aime pas ce qu'il vient de Google en général car je considère que ce sont des espions et les malfaisants. Ils volent toute notre vie privée de la publicité avec ce que je trouve inacceptable. Surprise, quand j'installe une application je ne peux pas choisir ce que l'application a droit de faire ou non contrairement à ce que j'ai sur mon iPhone. Une autre chose que je trouve regrettable par rapport à Linux classique, c'est que même si j'installe un terminal sur Android je ne peux pas avoir les droits root pour installer des applicationss spéciale comme des distributions Linux sur Android. S'agirait-il des limitations de mon asuse fonepad
Ne pourrait-on vraiment pas arrivé dans le monde des mobiles a avoir un périphérique qui soient sécurisés avec la possibilité de naviguer dans ses documents, une carte micro SD pour stocker les documents, et éventuellement un bureau avec des fenêtres comme sur un ordinateur.

Il semblerait qu'il y ait un projet qui est dans ce sens j'aurais d'ailleurs souhaité acheter la tablette Openphoneux avec Debian

Plus d'infos sur :

http://shop.goldelico.com/wiki.php?p...e=Letux%207004

Que pensez-vous ?

Salutations
0  0 
Avatar de jpiotrowski
Membre averti https://www.developpez.com
Le 30/05/2014 à 23:07
Avec toutes les énormes failles de sécurité de ces derniers mois, ça commence à faire un peu trop. Il y a bien des gens qui sont à l'origine de tout cela; je veux dire volontairement, ou alors, c'est plus qu'affligeant...
0  0 
Avatar de bytecode
Membre actif https://www.developpez.com
Le 01/06/2014 à 9:30
Ce qui est volontaire c'est de prendre un noyau linux d'y installer une plate forme java et de dire voilà un nouveau système appelons le androïde
Si les chercheurs en sécurité étais plus soutenue alors je pense que le Cert préconiserai de ne plus l'utiliser.
0  0