IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    Juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : Juin 2010
    Messages : 1 374
    Points : 68 549
    Points
    68 549
    Par défaut Android : deux tiers des applications populaires détourneraient des informations privées
    Android : deux tiers des applications populaires détourneraient des informations privées
    Le système de permission de l'OS de Google doit-t-il être revu ?



    Connaitre les ressources et données auxquelles une application Android peut accéder est-il suffisant pour garantir la protection de la vie privée ?

    Pas du tout. C'est en tout cas la conclusion d'une nouvelle étude menée par des chercheurs des Intel Labs, de l'Université de Pennsylvanie et de l'Université Duke (Caroline du nord).
    Une étude qui vient s'ajouter à celle de SMobile Systems (un rapport qui pose par ailleurs question).

    Cette étude repose sur « TaintDroid », un outil de proof-of-concept conçu spécialement pour analyser les manipulations des données, et sur 30 applications Android parmi les plus populaires.

    TaintDroid analyse en temps réel les données sensibles collectées : positionnement GPS, numéro de téléphone, liste des contacts, le numéro d'identité internationale d'équipement mobile (IMEI) ou le numéro de série de la carte SIM.

    Et les résultats sont, c'est le moins qu'on puisse dire, surprenants.

    Pour télécharger une application Android, l'utilisateur doit certes valider une boite de dialogue listant les données et les ressources qui seront accessible à l'application. Mais cette liste n'explique pas ce que l'application fera - au juste - des données exposées.

    Selon cette nouvelle étude, c'est bien là le problème. Deux tiers d'entre elles utiliseraient ces données de manière suspecte.

    La moitié partagerait ainsi les données de positionnement à des compagnies de publicité ou à des serveurs d'analyse sans "le consentement explicite ou implicite de l'utilisateur".

    Plus préoccupant, le tiers des applications étudiées révèleraient l'identifiant du Smartphone, parfois même accompagné du numéro de téléphone ou du numéro de série de la carte SIM.

    En tout, les chercheurs ont trouvé 68 processus de détournement potentiel des données privées dans seulement 20 applications.

    Pourtant, les applications doivent contenir un « Contrat de Licence Utilisateur Final (CLUF).

    Or seule une partie des applications analysées (une minorité) affichent ce contrat sur le téléphone. Et parmi elles, aucune n'explique clairement l'usage qui sera fait des données manipulées.

    De quoi pousser à revoir en profondeur le système de permission de l'OS de Google ?

    Source : le rapport de l'étude (PDF, 840KO)

    Et vous ?

    Que pensez-vous de ces résultats ?
    Quels changement dans le fonctionnement de l'Android Market préconiseriez-vous pour prévenir ces fuites d'informations ?


    En collaboration avec Gordon Fowler

  2. #2
    Membre éclairé Avatar de seeme
    Profil pro
    Inscrit en
    Octobre 2005
    Messages
    430
    Détails du profil
    Informations personnelles :
    Âge : 37
    Localisation : France

    Informations forums :
    Inscription : Octobre 2005
    Messages : 430
    Points : 791
    Points
    791
    Par défaut
    Ces résultats ne me surprennent absolument pas...

    Quand je vois certaines applications qui ont besoin de ressources pour afficher 2 images.. Ça pose un problème.

    On a accès à énormément d'informations quand on développe sous android, et la possibilité de manipulation des données est très grande (envoie à des serveurs tiers, analyse directement sur le téléphone..).


    Même si les éditeurs ajoutaient un message pour justifier l'utilisation de certaines permissions, je ne pense pas que ça changerait grand chose...

    Exemple, il existe une permission brick qui permet de briquer le téléphone (utilisée pour du débogage, ce genre de choses). Je ne pense pas qu'on puisse publier une application sur le market avec cette permission, mais je suis sûr que beaucoup de gens l'installeraient sans se poser de question si le contenu est.. aguicheur par exemple..

    La seule solution serait un contrôle humain systématique (au moins pour voir qu'un logiciel boiteàmeuhesque n'a pas besoin du numéro de carte sim, de l'imei et de la position satellite...).

  3. #3
    Expert éminent
    Avatar de _skip
    Homme Profil pro
    Développeur d'applications
    Inscrit en
    Novembre 2005
    Messages
    2 898
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur d'applications
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Novembre 2005
    Messages : 2 898
    Points : 7 752
    Points
    7 752
    Par défaut
    Perso j'ai renoncé à utiliser une application de clavier pour mon HTC parce que celle-ci demandait l'accès internet.
    Un accès internet pour un outil censé customiser son clavier hum... Ca sentait légèrement le keylogger.

  4. #4
    Membre régulier
    Inscrit en
    Juillet 2004
    Messages
    21
    Détails du profil
    Informations forums :
    Inscription : Juillet 2004
    Messages : 21
    Points : 77
    Points
    77
    Par défaut
    Dommage, le nom des applications n'est pas communiqué (ou alors j'ai mal lu).

  5. #5
    Membre expert Avatar de air-dex
    Homme Profil pro
    Inscrit en
    Août 2010
    Messages
    1 677
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France

    Informations forums :
    Inscription : Août 2010
    Messages : 1 677
    Points : 3 837
    Points
    3 837
    Par défaut
    Citation Envoyé par Idelways Voir le message
    Quels changement dans le fonctionnement de l'Android Market préconiseriez-vous pour prévenir ces fuites d'informations ?
    La politique de confidentialité du propriétaire.

    De toutes façons, même s'il y avait un CLUF qui précise que l'appli a accès à ces données, le problème ne pourrait pas être résolu. Le plus important pour celui qui achète cela, c'est la boîte à meuh et pas cette autorisation de BigBrothage ennuyeuse à lire.

  6. #6
    Membre habitué
    Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Août 2004
    Messages
    83
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Août 2004
    Messages : 83
    Points : 196
    Points
    196
    Par défaut
    Citation Envoyé par _skip Voir le message
    Perso j'ai renoncé à utiliser une application de clavier pour mon HTC parce que celle-ci demandait l'accès internet.
    Un accès internet pour un outil censé customiser son clavier hum... Ca sentait légèrement le keylogger.
    Bah le mien (swift key, super bien fait au passage) en a besoin pour télécharger et mettre à jour la liste des mots et l'analyse des phrases pour la langue choisie, donc c'est justifié je trouve. A moins que je comprenne mal l'application que tu désignes par "un outil censé customiser son clavier" ?

  7. #7
    Membre éclairé
    Profil pro
    Inscrit en
    Mars 2010
    Messages
    549
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2010
    Messages : 549
    Points : 704
    Points
    704
    Par défaut
    commandité par intel....

    meego propose quoi pour corriger cela?

    la concurrence a quoi pour palier à ce problème? rien

    il faudrait augmenter encore plus le niveau de granularité de la sécurité

    c'est une question de confiance c'est tout... c'est idem pour n'importe qu'elle os...

  8. #8
    Membre éclairé Avatar de Julien Bodin
    Homme Profil pro
    Devops
    Inscrit en
    Février 2009
    Messages
    474
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Calvados (Basse Normandie)

    Informations professionnelles :
    Activité : Devops
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Février 2009
    Messages : 474
    Points : 843
    Points
    843
    Par défaut
    Citation Envoyé par Guildem Voir le message
    Bah le mien (swift key, super bien fait au passage) en a besoin pour télécharger et mettre à jour la liste des mots et l'analyse des phrases pour la langue choisie, donc c'est justifié je trouve. A moins que je comprenne mal l'application que tu désignes par "un outil censé customiser son clavier" ?
    +1, superbe appli

  9. #9
    Membre éprouvé Avatar de Elepole
    Profil pro
    Développeur informatique
    Inscrit en
    Avril 2010
    Messages
    504
    Détails du profil
    Informations personnelles :
    Âge : 34
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Avril 2010
    Messages : 504
    Points : 1 151
    Points
    1 151
    Par défaut
    Citation Envoyé par Idelways Voir le message

    Que pensez-vous de ces résultats ?
    Previsible.

    Citation Envoyé par Idelways Voir le message

    Quels changement dans le fonctionnement de l'Android Market préconiseriez-vous pour prévenir ces fuites d'informations ?
    C'est pas le Market qu'il faudrait changé mais Android lui même, quel genre d'application a besoin d'avoir acces a l'IMEI ou au numero de serie de la carte sim ? Il devrait pas etre possible de manipuler ce type de donné dans une application.

  10. #10
    Membre éclairé Avatar de seeme
    Profil pro
    Inscrit en
    Octobre 2005
    Messages
    430
    Détails du profil
    Informations personnelles :
    Âge : 37
    Localisation : France

    Informations forums :
    Inscription : Octobre 2005
    Messages : 430
    Points : 791
    Points
    791
    Par défaut
    Citation Envoyé par Elepole Voir le message
    Previsible.



    C'est pas le Market qu'il faudrait changé mais Android lui même, quel genre d'application a besoin d'avoir acces a l'IMEI ou au numero de serie de la carte sim ? Il devrait pas etre possible de manipuler ce type de donné dans une application.
    Dans certains cas tu as besoin de ces informations! L'imei est par exemple un des seul moyen d'identifier un téléphone (et donc de fabriquer des hash ou des clef de sécurité..)

  11. #11
    Membre éprouvé

    Inscrit en
    Décembre 2009
    Messages
    146
    Détails du profil
    Informations forums :
    Inscription : Décembre 2009
    Messages : 146
    Points : 900
    Points
    900
    Par défaut
    En gros si on donne un accès internet pour Admob (Régie de pub), on va se retrouver dans son cas... L'application n'ayant pourtant pas pour but de détourner des informations.

    Je pense en effet, qu'il y a des applications malhonnêtes mais faudrait peut être pas les mettre toutes dans le même panier sous prétexte qu'elles utilisent une permission mal comprise.

  12. #12
    Membre éclairé Avatar de seeme
    Profil pro
    Inscrit en
    Octobre 2005
    Messages
    430
    Détails du profil
    Informations personnelles :
    Âge : 37
    Localisation : France

    Informations forums :
    Inscription : Octobre 2005
    Messages : 430
    Points : 791
    Points
    791
    Par défaut
    Je pense surtout que les permissions ne sont pas assez détaillées.

    Par exemple, READ_PHONE_STATE permet de voir bien plus de chose que simplement "En communication/hors communication"..

    Les 3/4 des gens pensent juste que c'est pour interrompre un jeu si on reçoit une communication.. (donc déjà, ça c'est régi par l'OS) sauf que ça permet aussi de lire les SMS, les mails, d'enregistrer de l'audio...

  13. #13
    Membre confirmé
    Inscrit en
    Février 2010
    Messages
    230
    Détails du profil
    Informations forums :
    Inscription : Février 2010
    Messages : 230
    Points : 581
    Points
    581
    Par défaut
    Ça montre bien l'efficacité du système de vérification des applis soumise à la publication de Google...

  14. #14
    Membre chevronné

    Profil pro
    Conseil - Consultant en systèmes d'information
    Inscrit en
    Février 2004
    Messages
    761
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Conseil - Consultant en systèmes d'information

    Informations forums :
    Inscription : Février 2004
    Messages : 761
    Points : 2 097
    Points
    2 097
    Par défaut
    Citation Envoyé par GCSX_ Voir le message
    Ça montre bien l'efficacité du système de vérification des applis soumise à la publication de Google...
    Système de vérification introduit par Apple, mais qui ne sert à rien, à part limiter la liberté de tous. On en a jamais eu besoin sous Windows, je ne vois pas pourquoi on en aurait besoin sur un téléphone, s'il l'OS est bien pensé.

  15. #15
    Rédacteur/Modérateur


    Homme Profil pro
    Développeur .NET
    Inscrit en
    Février 2004
    Messages
    19 875
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Février 2004
    Messages : 19 875
    Points : 39 753
    Points
    39 753
    Par défaut
    Citation Envoyé par yezhouden Voir le message
    Dommage, le nom des applications n'est pas communiqué (ou alors j'ai mal lu).
    dans le tableau en haut de la page 9

    2 apps sent out the phone number, IMSI, and ICC-ID along with the
    geo-coordinates to the app’s content server.
    Ouais, c'est vrai que c'est un peu louche ça

  16. #16
    Membre habitué
    Homme Profil pro
    Architecte de système d'information
    Inscrit en
    Juin 2006
    Messages
    87
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 60
    Localisation : France

    Informations professionnelles :
    Activité : Architecte de système d'information
    Secteur : Conseil

    Informations forums :
    Inscription : Juin 2006
    Messages : 87
    Points : 144
    Points
    144
    Par défaut Publicité en ligne ?
    Juste à titre indicatif..... ce ne serait pas tout simplement la gestion des publicités via AdMob qui effraye tant ces "experts"

  17. #17
    Rédacteur/Modérateur


    Homme Profil pro
    Développeur .NET
    Inscrit en
    Février 2004
    Messages
    19 875
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Février 2004
    Messages : 19 875
    Points : 39 753
    Points
    39 753
    Par défaut
    En guise de prévention, avant que les fanboys Apple débarquent pour dire que "vous voyez, Android ça pue" (*), voilà une autre news intéressante...

    Report: 68% of iPhone Apps Do Not Secure Your Personal Information


    (*) Je suis un peu mauvaise langue, cette actu est là depuis une semaine et il n'y a encore aucun message de ce type...

Discussions similaires

  1. Réponses: 2
    Dernier message: 29/07/2014, 15h12
  2. Réponses: 6
    Dernier message: 01/06/2014, 10h30
  3. Réponses: 1
    Dernier message: 27/04/2012, 17h41
  4. Réponses: 1
    Dernier message: 29/05/2009, 14h52
  5. Réponses: 5
    Dernier message: 30/05/2008, 11h04

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo