Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des milliers d'applications Android liées à des activités malveillantes :
Connexion à des sites de suivi, de publicité et serveurs compromis

Le , par Michael Guilloux

16PARTAGES

5  0 
Les activités malveillantes ciblant les dispositifs Android via les applications du Play Store sont bien loin d’être inconnues. Mais ce qui n’est pas encore clair jusqu’à présent, c’est le niveau de risque réel auquel les utilisateurs de dispositifs Android sont exposés.

Pour ce qui est de ce niveau de risque, des chercheurs en sécurité d’Eurecom et Technicolor Research ont découvert qu’il est plus difficile de trouver des applications sures dans la boutique d’applications Android. Par manque de contrôle, l’utilisateur est alors plus susceptible d’installer des applications malveillantes sur son dispositif.

« Le manque de surveillance dans Android Play Store rend trop facile pour les utilisateurs finaux d'installer des applications d'origine douteuse, ou celles qui transportent silencieusement une activité qui pourrait ne pas être vue favorablement par l'utilisateur », écrivent les chercheurs Luigi Vigneri, Jaideep Chandrashekar, Ioannis Pefkianakis et Olivier Heen dans leur document.


Ces derniers ont développé une application Android capable d’avertir les utilisateurs sur les connexions établies avec leurs dispositifs lorsqu’ils exécutent une application Android donnée. Leur application appelée NoSuchApp (NSA) surveille le trafic et compare les URL silencieusement demandées par les applications exécutées à une liste définie de sites de publicité et de suivi des utilisateurs.

Les chercheurs ont testé le comportement de plus de 2000 applications Android, sélectionnées comme les meilleures dans chacune des 25 catégories de l’Android Play Store.

Ils ont découvert que plus de 1700 applications testées ont été en mesure de générer du trafic réseau, impliquant environ 250.000 URL réparties entre près de 2000 domaines de haut niveau. Certaines applications ont permis d’établir des connexions à plus de 2000 URL distinctes quelques minutes seulement après le lancement, tandis que d'autres ont généré plus de 1000 requêtes HTTP.

A titre d’exemple, l’application Music Volume EQ, téléchargée plus de 10.000.000 fois, s’est connectée à environ 2000 URL, alors qu’elle n’a besoin d’accéder à aucun réseau pour fonctionner. Les chercheurs notent encore que plus de 10 % des applications testées se connectent à plus de 500 URL distinctes.

Ces URL correspondent souvent à des sites de publicité, des sites de suivi des utilisateurs, des sites suspects ou marqués comme malveillants. Les chercheurs notent en effet que 67 % des applications testées se connectent à un site de publicité connu, alors qu’environ 27 % étaient liées à des sites de suivi des utilisateurs. Ils révèlent encore que près de 6 % des URL demandées par les applications testées étaient marquées comme suspectes par le logiciel de sécurité en ligne gratuit VirusTotal, tandis que 3 % étaient détectées comme malveillantes par Webutation, qui permet de classer les sites web selon leur réputation du point de vue de la sécurité.

Comme l’indiquent les chercheurs, ces activités sont le plus souvent inconnues des utilisateurs, d’où l’utilité de leur application. Avec procuration, NSA surveillera le trafic sur les dispositifs des utilisateurs en vue de leur présenter les sites qui communiquent avec leurs dispositifs lorsqu'une application donnée est exécutée. NSA indiquera également la fréquence avec laquelle la communication s’établit avec le dispositif Android.

L'application développée par les chercheurs sera disponible dans un futur proche dans le Play Store d'Android.

Source : rapport d'Eurecom (pdf)

Et vous ?

Qu’en pensez-vous ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de vanskjære
Membre averti https://www.developpez.com
Le 05/05/2015 à 13:59
Le plus drôle c'est que l'application a le diminutif "NSA" et qu'elle surveille les communications des applications de l'appareil.....E. Snowden ne va pas l'utiliser je pense ^^
1  0 
Avatar de eulbobo
Membre chevronné https://www.developpez.com
Le 05/05/2015 à 14:21

La version 1.2.5 peut accéder aux éléments suivants :
Historique de l'appareil et des applications
Récupérer les applications en cours d'exécution
Photos/Contenus multimédias/Fichiers
Modifier ou supprimer le contenu de la mémoire de stockage USB
Lire le contenu de la mémoire de stockage USB
Caméra
prendre des photos et filmer des vidéos
Informations relatives à la connexion Wi-Fi
afficher les connexions Wi-Fi
Identifiant de l'appareil et informations relatives aux appels
voir l'état et l'identité du téléphone
Autre
recevoir des données depuis Internet
contrôler la lampe de poche
modifier les paramètres d'affichage du système
modifier les paramètres du système
empêcher la mise en veille de l'appareil
afficher les connexions réseau
bénéficier d'un accès complet au réseau
Vous pensez que c'est quoi comme application?

Une lampe de poche bien entendu !

Une autre?

Historique de l'appareil et des applications
Récupérer les applications en cours d'exécution
Photos/Contenus multimédias/Fichiers
Modifier ou supprimer le contenu de la mémoire de stockage USB
Lire le contenu de la mémoire de stockage USB
Caméra
prendre des photos et filmer des vidéos
Informations relatives à la connexion Wi-Fi
afficher les connexions Wi-Fi
Identifiant de l'appareil et informations relatives aux appels
voir l'état et l'identité du téléphone
Autre
bénéficier d'un accès complet au réseau
contrôler la lampe de poche
afficher les connexions réseau
empêcher la mise en veille de l'appareil
Encore une qui veut savoir OU tu es

Données de localisation
position approximative (réseau)
position précise (GPS et réseau)
Photos/Contenus multimédias/Fichiers
Modifier ou supprimer le contenu de la mémoire de stockage USB
Lire le contenu de la mémoire de stockage USB
Caméra
prendre des photos et filmer des vidéos
Informations relatives à la connexion Wi-Fi
afficher les connexions Wi-Fi
Identifiant de l'appareil et informations relatives aux appels
voir l'état et l'identité du téléphone
Autre
désactiver ou modifier la barre d'état
Lire les paramètres et les raccourcis de la page d'accueil
contrôler la lampe de poche
empêcher la mise en veille de l'appareil
afficher les connexions réseau
bénéficier d'un accès complet au réseau
Installer des raccourcis
Désinstaller les raccourcis

Bref, si les gens ne regardent pas les droits qu'ils donnent aux applications qu'ils installent, faut pas qu'ils s'étonnent...
1  0 
Avatar de NSKis
En attente de confirmation mail https://www.developpez.com
Le 05/05/2015 à 14:31
"Des milliers d’applications Android seraient liées à des activités malveillantes "???

Non???? Qui l'eut cru?

Petit rappel à tous les naïfs de la terre: Lorsque quelque chose vous est offert gratuitement, c'est qu'en fait le produit qui est vendu, c'est vous et vos données!!!
1  0 
Avatar de sevyc64
Modérateur https://www.developpez.com
Le 05/05/2015 à 20:23
Citation Envoyé par eulbobo Voir le message
Bref, si les gens ne regardent pas les droits qu'ils donnent aux applications qu'ils installent, faut pas qu'ils s'étonnent...
D'un autre coté si tu regarde tous les droits que demandent les applis que tu installe et que tu n'installe que celles qui sont (te semblent) clean, tu n'installe pas grand chose sur ta machine.

Citation Envoyé par sazearte Voir le message
Pas toujours, il y'a encore d’irréductible développeur qui font des applications juste pour le plaisir, et pas aveugler par les marketeux de google qui leurs promettent de gagner des millions en 1 semaine.
Oui, mais le problème est que ceux là n'ont aucune visibilité et sont donc considérés comme potentiellement dangereux sur les stores. Alors que les applis venant de grosses boites ayant pignon sur rue sont justement considérés comme plus fiables et sécurisés. Et c'est celles-là, justement qui consomment nos données.

Citation Envoyé par qtwallaert Voir le message
Cependant, pour utiliser XPrivacy, il faut avoir rooté son téléphone, et accepter les risques de sécurité qui viennent avec.
Et donc confier à XPrivacy le soit de monnayer nos données à la place des autres applications ?
Le problème des applications en mode root est qu'elles obtiennent ainsi tellement de droits qu'elles n'ont même plus forcément besoin d'explicitement les demander
Le problème de ces applications qui ont les droits suprêmes pour pouvoir contrôler le fonctionnement des autres applications potentiellement nuisibles ont de fait aussi les droits suprêmes pour être encore plus nuisibles que les applications qu'elles sont censées contrôler.
Difficile de faire le tri.
1  0 
Avatar de 23JFK
Membre chevronné https://www.developpez.com
Le 06/05/2015 à 0:07
Citation Envoyé par eulbobo Voir le message
Vous pensez que c'est quoi comme application?

Une lampe de poche bien entendu !
...
Bref, si les gens ne regardent pas les droits qu'ils donnent aux applications qu'ils installent, faut pas qu'ils s'étonnent...
Le problème c'est que les utilisateurs ne peuvent pas interdire manuellement les droits qui dépassent le cadre normal de fonctionnement souhaité d'une application. La seule possibilité est soit de désinstaller l'application ou de ne pas faire la mise à jour d'une application qui demande de nouveaux droits (par exemple : le lecteur de pdf adobe dont je refuse les mises à jours depuis qu'il demande à pouvoir accéder à toutes les archives de l'appareil (WTF! qu'est-ce que cette appli veut faire de mes photos ?)). C'est peut-être là, la prochaine fonctionnalité que google va devoir implémenter : Donner à l'utilisateur la possibilité de bloquer les services inutiles et non-certifiés par un tiers de confiance pour une appli donnée.
1  0 
Avatar de derderder
Membre averti https://www.developpez.com
Le 08/05/2015 à 17:25
Citation Envoyé par mholtzer Voir le message

D'où, contrairement à toi, je dirais qu'au l de niveler par le bas, Androïd devrait justement donner le pouvoir aux utilisateurs de refuser certaines demandes d'autorisations (au moins lors de l'installation de l'application) ; et là, si l'utilisateur continue à installer des applications en faisant "suivant-suivant", et bien ça sera son choix et sa responsabilité.

Mais si Google n'a jamais fait ça jusqu'à maintenant, cela prouve bien qu'ils ne peuvent sciemment pas le faire (car côté programmation, ça me semblerait très facile à implémenter - mais je ne suis pas développeur de Google Apps à ce jour, donc j'ai peut-être tort).

Largement faisable ce que tu propose, c'est d'ailleurs inclus dans certaines roms customs cyanogenemods et ses dérivés. Mais tu veux que Google prenne de vrais mesures pour protéger les utilisateurs des abus des entreprises ? Sérieusement ? Pourquoi pas un ios open-source tant qu'on y est.

PS: Android pas Androïd par pitié.
1  0 
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 05/05/2015 à 14:49
Petit rappel à tous les naïfs de la terre: Lorsque quelque chose vous est offert gratuitement
Pas toujours, il y'a encore d’irréductible développeur qui font des applications juste pour le plaisir, et pas aveugler par les marketeux de google qui leurs promettent de gagner des millions en 1 semaine.
0  0 
Avatar de qtwallaert
Candidat au Club https://www.developpez.com
Le 05/05/2015 à 19:26
À ce jour, je n'ai trouvé qu'une solution efficace pour utiliser une application Android sans être utilisé par cette appli pour générer des revenus à partir de toute la vie privée possible qu'il est possible de demander au téléphone : ça s'appelle Xprivacy, et à chaque fois qu'une appli en mode restriction sur demande tente d'utiliser une permission pour la première fois, on peut lui refuser.. Ainsi, de nombreuses applis qui n'ont pas besoin de savoir où je vis savent maintenant que je vis au Pôle Nord. De nombreuses applis qui n'ont pas besoin de se connecter à Internet ne peuvent plus se connecter à Internet. Très peu d'applis ont encore accès à mon numéro de téléphone, mon identifiant de publicité... et on peut même bloquer des permissions des applis système dont les Google apps
Cependant, pour utiliser XPrivacy, il faut avoir rooté son téléphone, et accepter les risques de sécurité qui viennent avec.
0  0 
Avatar de vanskjære
Membre averti https://www.developpez.com
Le 06/05/2015 à 9:32
Citation Envoyé par 23JFK Voir le message
Le problème c'est que les utilisateurs ne peuvent pas interdire manuellement les droits qui dépassent le cadre normal de fonctionnement souhaité d'une application. La seule possibilité est soit de désinstaller l'application ou de ne pas faire la mise à jour d'une application qui demande de nouveaux droits (par exemple : le lecteur de pdf adobe dont je refuse les mises à jours depuis qu'il demande à pouvoir accéder à toutes les archives de l'appareil (WTF! qu'est-ce que cette appli veut faire de mes photos ?)). C'est peut-être là, la prochaine fonctionnalité que google va devoir implémenter : Donner à l'utilisateur la possibilité de bloquer les services inutiles et non-certifiés par un tiers de confiance pour une appli donnée.
Oui mais comment les dévelopeurs de lampe de poche et adwords pourront faire du beurre s'il ne vendent pas de la pub sur ton dos s'il laisse le choix à l'utilisateur?
Ce genre de choix ne serais de toute façon pas pris par une grande proportions d'utilisateur qui sont habitué à faire suivant suivant lors des installations.
0  0 
Avatar de eulbobo
Membre chevronné https://www.developpez.com
Le 06/05/2015 à 10:30
Citation Envoyé par sevyc64 Voir le message
D'un autre coté si tu regarde tous les droits que demandent les applis que tu installe et que tu n'installe que celles qui sont (te semblent) clean, tu n'installe pas grand chose sur ta machine.
D'un autre côté, je n'installe pas grand chose tout court parce que je n'ai pas BESOIN de grand chose. Mais quand je recherche quelque chose, je recherche effectivement des applications pour lesquelles les droits me semblent logiques par rapport au besoin.

Typiquement, les coordonnées GPS pour les applications qui ne proposent aucun service lié au positionnement, c'est de l'abus.
La connexion complète à internet pour les applications qui ne l'utilisent pas, c'est de l'abus.
La liste des applications lancée sur une application standalone, c'est de l'abus.

Exemple con :

Historique de l'appareil et des applications
lire les données des journaux à caractère confidentiel
Identité
rechercher des comptes sur l'appareil
Données de localisation
position approximative (réseau)
position précise (GPS et réseau)

Photos/Contenus multimédias/Fichiers
Modifier ou supprimer le contenu de la mémoire de stockage USB
Lire le contenu de la mémoire de stockage USB
Micro
enregistrer un fichier audio
Identifiant de l'appareil et informations relatives aux appels
voir l'état et l'identité du téléphone
Autre
recevoir des données depuis Internet
bénéficier d'un accès complet au réseau
empêcher la mise en veille de l'appareil
s'exécuter au démarrage
activer/désactiver la connexion Wi-Fi
contrôler le vibreur
créer des comptes et définir des mots de passe
afficher les connexions réseau
Que fait cette application?
Elle permet de
- voir des vidéos (donc accès internet et stockage sur la mémoire, ok)
- prendre des photos et les partager
- appuyer sur des boutons pour faire "prout" (ouais, classe).
Pourquoi cette application a t'elle besoin des droits en gras?

Donc oui, la seule solution est de rooter son téléphone, donc de l'ouvrir potentiellement à beaucoup plus de dangers, pour pouvoir ensuite choisir ce qu'on autorise ou pas.
0  0