Newsletter Developpez.com

Inscrivez-vous gratuitement au Club pour recevoir
la newsletter hebdomadaire des développeurs et IT pro

Android : une faille permet aux applications de prendre des photos à l'insu des utilisateurs
Et éventuellement les stocker sur un serveur distant

Le , par Stéphane le calme, Chroniqueur Actualités
En explorant les limites de la collecte de données pour un projet d’équipe universitaire qui suggérait grosso modo d’utiliser les caméras sur les ordinateurs sans en allumer les voyants lumineux, Szymon Sidor, un chercheur en sécurité, a accidentellement mis le doigt sur une importante faille de sécurité pouvant affecter le système d’exploitation mobile de Mountain View.

« Ce que je voulais, c’était prendre des photos à l’insu de l’utilisateur, à n’importe quel moment, pas seulement quand l’application était en cours d’utilisation », a-t-il expliqué. La première chose qu’il a faite a été d’effectuer une recherche sur le sujet. Il en est sorti que l’utilisation de la caméra sur Android n’impose pas à l’application d’apparaître forcément en arrière-plan mais requiert malgré tout l’affichage d’un aperçu sur l’écran de l’utilisateur. Il s’agit là d’un moyen de veiller à ce que les utilisateurs sachent que leur caméra est en cours d’utilisation afin de ne pas prendre des photos/vidéos d’eux à leur insu.

Et c’est à ce niveau qu’intervient son petit tour ; Sidor a réduit l’affichage de l’aperçu à 1x1 pixel, rendant impossible de discerner l’aperçu sur l’écran de son smartphone et laissant à l’application le loisir de télécharger les photos capturées ailleurs. De cette façon, même lorsque l’écran du smartphone est inactif, l’application est capable de prendre des photos sans alerter l’utilisateur et potentiellement de transmettre les clichés en toute discrétion vers un serveur distant. L'application est également capable de capturer d'autres détails de l'appareil, tels que le niveau de la batterie (crucial pour aider à éviter la détection de l'application via le drain de la batterie), et même l'emplacement actuel de l'appareil. Regardez donc la démo.


« Le résultat a été incroyable et effrayant en même temps - le pixel est pratiquement impossible à repérer sur l’écran du Nexus 5 (même si vous savez où chercher) ! En outre, il s'est avéré que même si vous éteignez votre écran, vous pourrez toujours prendre des photos, aussi longtemps que le pixel est là », a-t-il précisé.

Par la suite il prodigue quelques conseils, notamment vérifier les permissions des applications suspectes dans les paramètres d’Android et retirer l’accès à la caméra pour les applications dont la vocation n’a rien à y voir. Étant donné qu’il est possible d’installer des applications à l’insu de l’utilisateur, il recommande également d’adopter l’authentification à deux facteurs afin de mieux protéger son compte Google, mais aussi de changer son mot de passe de temps en temps et d’en établir des solides.

Il recommande également de prendre l’habitude de désinstaller les applications inutilisées et de surveiller le comportement de votre pile et de votre réseau : une importante consommation électrique et une transmission de données élevée sont des symptômes de l’exploitation de cette faille. Enfin, il rappelle qu’il faut surveiller les applications indésirables qui fonctionnent en arrière-plan.

A la fin, après des critiques constructives, il s’adresse en ces mots à l’équipe de sécurité d’Android : « s’il vous plaît, faites plus d’efforts pour assurer la vie privée des utilisateurs ».

Source : blog Sidor

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de bytecode bytecode - Membre habitué https://www.developpez.com
le 26/05/2014 à 20:12
Je dit chapeau belle découverte !!! je n'ai pas de smartphone androïde m'a toujours fait penser a un Windows 95 en termes de sécurité. un système jeune vite fait pour être rentable vite face aux autres "la sécurité bah on verra ça plus tard..."
Avatar de Voïvode Voïvode - Membre émérite https://www.developpez.com
le 27/05/2014 à 2:07
C’est une grosse faiblesse de l’API qui doit être corrigée, mais je ne considère pas cela comme une faille. Pour moi, une faille est une vulnérabilité qui peut être exploitée dans les logiciels déjà utilisés (par le biais d'un fichier PDF, d'une injection SQL, d'une commande qui provoque une élévation de privilèges, etc).

Ici, il faut télécharger une application malveillante qui accède à l'appareil photo sans raison pour se faire avoir. Comme d’habitude, si on télécharge n’importe quoi, il peut nous arriver n’importe quoi.
Avatar de pierre++ pierre++ - Membre habitué https://www.developpez.com
le 28/05/2014 à 11:40
Le problème est que sur la plupart des applications android il faut, si on veut les utiliser, donner des droits qui ne sont pas directement liés à l'application, et ce sans savoir pourquoi ils sont demandés.
Ce qui fait que 99% des applications sont susceptibles de contenir du code étranger à l'usage que l'on attend de l'application téléchargée, donc potentiellement 99% des applis sont malveillantes
Seule solution (IMHO) est d'utiliser des applis opensources
Avatar de Battant Battant - Membre actif https://www.developpez.com
le 30/05/2014 à 10:30
Bonjour,

Il y a quelques temps, j'ai acheté une tablette Android avec la 3g parce qu'il me reste plus qu'une au magasin avec cette option. On souhaiterait était d'avoir une tablette Linux. Je n'aime pas Microsoft parce qu'ils dominent trop le marché des PC et je n'aime pas ce qu'il vient de Google en général car je considère que ce sont des espions et les malfaisants. Ils volent toute notre vie privée de la publicité avec ce que je trouve inacceptable. Surprise, quand j'installe une application je ne peux pas choisir ce que l'application a droit de faire ou non contrairement à ce que j'ai sur mon iPhone. Une autre chose que je trouve regrettable par rapport à Linux classique, c'est que même si j'installe un terminal sur Android je ne peux pas avoir les droits root pour installer des applicationss spéciale comme des distributions Linux sur Android. S'agirait-il des limitations de mon asuse fonepad
Ne pourrait-on vraiment pas arrivé dans le monde des mobiles a avoir un périphérique qui soient sécurisés avec la possibilité de naviguer dans ses documents, une carte micro SD pour stocker les documents, et éventuellement un bureau avec des fenêtres comme sur un ordinateur.

Il semblerait qu'il y ait un projet qui est dans ce sens j'aurais d'ailleurs souhaité acheter la tablette Openphoneux avec Debian

Plus d'infos sur :

http://shop.goldelico.com/wiki.php?page=Letux%207004

Que pensez-vous ?

Salutations
Avatar de jpiotrowski jpiotrowski - Membre habitué https://www.developpez.com
le 30/05/2014 à 23:07
Avec toutes les énormes failles de sécurité de ces derniers mois, ça commence à faire un peu trop. Il y a bien des gens qui sont à l'origine de tout cela; je veux dire volontairement, ou alors, c'est plus qu'affligeant...
Avatar de bytecode bytecode - Membre habitué https://www.developpez.com
le 01/06/2014 à 9:30
Ce qui est volontaire c'est de prendre un noyau linux d'y installer une plate forme java et de dire voilà un nouveau système appelons le androïde
Si les chercheurs en sécurité étais plus soutenue alors je pense que le Cert préconiserai de ne plus l'utiliser.
Offres d'emploi IT
Ingénieur étude et de développement .net h/f
INEAT Conseil - Ile de France - Ile de France
Ingénieurs d'études expérimentés HTML5 - CSS3
COOPTALIS - Nord Pas-de-Calais - LIille
INGENIEUR SYSTEME PRODUCTION (H/F)
STEF - Ile de France - PARIS 8ème

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil