Discussion :

[Idelways]

Android : deux tiers des applications populaires détourneraient des informations privées
Le système de permission de l'OS de Google doit-t-il être revu ?



Connaitre les ressources et données auxquelles une application Android peut accéder est-il suffisant pour garantir la protection de la vie privée ?

Pas du tout. C'est en tout cas la conclusion d'une nouvelle étude menée par des chercheurs des Intel Labs, de l'Université de Pennsylvanie et de l'Université Duke (Caroline du nord).
Une étude qui vient s'ajouter à celle de SMobile Systems (un rapport qui pose par ailleurs question).

Cette étude repose sur « TaintDroid », un outil de proof-of-concept conçu spécialement pour analyser les manipulations des données, et sur 30 applications Android parmi les plus populaires.

TaintDroid analyse en temps réel les données sensibles collectées : positionnement GPS, numéro de téléphone, liste des contacts, le numéro d'identité internationale d'équipement mobile (IMEI) ou le numéro de série de la carte SIM.

Et les résultats sont, c'est le moins qu'on puisse dire, surprenants.

Pour télécharger une application Android, l'utilisateur doit certes valider une boite de dialogue listant les données et les ressources qui seront accessible à l'application. Mais cette liste n'explique pas ce que l'application fera - au juste - des données exposées.

Selon cette nouvelle étude, c'est bien là le problème. Deux tiers d'entre elles utiliseraient ces données de manière suspecte.

La moitié partagerait ainsi les données de positionnement à des compagnies de publicité ou à des serveurs d'analyse sans "le consentement explicite ou implicite de l'utilisateur".

Plus préoccupant, le tiers des applications étudiées révèleraient l'identifiant du Smartphone, parfois même accompagné du numéro de téléphone ou du numéro de série de la carte SIM.

En tout, les chercheurs ont trouvé 68 processus de détournement potentiel des données privées dans seulement 20 applications.

Pourtant, les applications doivent contenir un « Contrat de Licence Utilisateur Final (CLUF).

Or seule une partie des applications analysées (une minorité) affichent ce contrat sur le téléphone. Et parmi elles, aucune n'explique clairement l'usage qui sera fait des données manipulées.

De quoi pousser à revoir en profondeur le système de permission de l'OS de Google ?

Source : le rapport de l'étude (PDF, 840KO)

Et vous ?

Que pensez-vous de ces résultats ?
Quels changement dans le fonctionnement de l'Android Market préconiseriez-vous pour prévenir ces fuites d'informations ?


En collaboration avec Gordon Fowler

[seeme]

Ces résultats ne me surprennent absolument pas...

Quand je vois certaines applications qui ont besoin de ressources pour afficher 2 images.. Ça pose un problème.

On a accès à énormément d'informations quand on développe sous android, et la possibilité de manipulation des données est très grande (envoie à des serveurs tiers, analyse directement sur le téléphone..).


Même si les éditeurs ajoutaient un message pour justifier l'utilisation de certaines permissions, je ne pense pas que ça changerait grand chose...

Exemple, il existe une permission brick qui permet de briquer le téléphone (utilisée pour du débogage, ce genre de choses). Je ne pense pas qu'on puisse publier une application sur le market avec cette permission, mais je suis sûr que beaucoup de gens l'installeraient sans se poser de question si le contenu est.. aguicheur par exemple..

La seule solution serait un contrôle humain systématique (au moins pour voir qu'un logiciel boiteàmeuhesque n'a pas besoin du numéro de carte sim, de l'imei et de la position satellite...).

[_skip]

Perso j'ai renoncé à utiliser une application de clavier pour mon HTC parce que celle-ci demandait l'accès internet.
Un accès internet pour un outil censé customiser son clavier hum... Ca sentait légèrement le keylogger.

[yezhouden]

Dommage, le nom des applications n'est pas communiqué (ou alors j'ai mal lu).

[air-dex]

Quels changement dans le fonctionnement de l'Android Market préconiseriez-vous pour prévenir ces fuites d'informations ?

La politique de confidentialité du propriétaire.

De toutes façons, même s'il y avait un CLUF qui précise que l'appli a accès à ces données, le problème ne pourrait pas être résolu. Le plus important pour celui qui achète cela, c'est la boîte à meuh et pas cette autorisation de BigBrothage ennuyeuse à lire.

[Guildem]

Perso j'ai renoncé à utiliser une application de clavier pour mon HTC parce que celle-ci demandait l'accès internet.
Un accès internet pour un outil censé customiser son clavier hum... Ca sentait légèrement le keylogger.

Bah le mien (swift key, super bien fait au passage) en a besoin pour télécharger et mettre à jour la liste des mots et l'analyse des phrases pour la langue choisie, donc c'est justifié je trouve. A moins que je comprenne mal l'application que tu désignes par "un outil censé customiser son clavier" ?

[lequebecois79]

commandité par intel....

meego propose quoi pour corriger cela?

la concurrence a quoi pour palier à ce problème? rien

il faudrait augmenter encore plus le niveau de granularité de la sécurité

c'est une question de confiance c'est tout... c'est idem pour n'importe qu'elle os...

[Julien Bodin]

Bah le mien (swift key, super bien fait au passage) en a besoin pour télécharger et mettre à jour la liste des mots et l'analyse des phrases pour la langue choisie, donc c'est justifié je trouve. A moins que je comprenne mal l'application que tu désignes par "un outil censé customiser son clavier" ?

+1, superbe appli

[Elepole]

Que pensez-vous de ces résultats ?

Previsible.

Quels changement dans le fonctionnement de l'Android Market préconiseriez-vous pour prévenir ces fuites d'informations ?

C'est pas le Market qu'il faudrait changé mais Android lui même, quel genre d'application a besoin d'avoir acces a l'IMEI ou au numero de serie de la carte sim ? Il devrait pas etre possible de manipuler ce type de donné dans une application.

[seeme]

Previsible.



C'est pas le Market qu'il faudrait changé mais Android lui même, quel genre d'application a besoin d'avoir acces a l'IMEI ou au numero de serie de la carte sim ? Il devrait pas etre possible de manipuler ce type de donné dans une application.

Dans certains cas tu as besoin de ces informations! L'imei est par exemple un des seul moyen d'identifier un téléphone (et donc de fabriquer des hash ou des clef de sécurité..)

[Sylvaner]

En gros si on donne un accès internet pour Admob (Régie de pub), on va se retrouver dans son cas... L'application n'ayant pourtant pas pour but de détourner des informations.

Je pense en effet, qu'il y a des applications malhonnêtes mais faudrait peut être pas les mettre toutes dans le même panier sous prétexte qu'elles utilisent une permission mal comprise.

[seeme]

Je pense surtout que les permissions ne sont pas assez détaillées.

Par exemple, READ_PHONE_STATE permet de voir bien plus de chose que simplement "En communication/hors communication"..

Les 3/4 des gens pensent juste que c'est pour interrompre un jeu si on reçoit une communication.. (donc déjà, ça c'est régi par l'OS) sauf que ça permet aussi de lire les SMS, les mails, d'enregistrer de l'audio...

[GCSX_]

Ça montre bien l'efficacité du système de vérification des applis soumise à la publication de Google...

[blbird]

Ça montre bien l'efficacité du système de vérification des applis soumise à la publication de Google...

Système de vérification introduit par Apple, mais qui ne sert à rien, à part limiter la liberté de tous. On en a jamais eu besoin sous Windows, je ne vois pas pourquoi on en aurait besoin sur un téléphone, s'il l'OS est bien pensé.

[tomlev]

Dommage, le nom des applications n'est pas communiqué (ou alors j'ai mal lu).

dans le tableau en haut de la page 9

2 apps sent out the phone number, IMSI, and ICC-ID along with the
geo-coordinates to the app’s content server.

Ouais, c'est vrai que c'est un peu louche ça

[iznogoudmc]

Juste à titre indicatif..... ce ne serait pas tout simplement la gestion des publicités via AdMob qui effraye tant ces "experts"

[tomlev]

En guise de prévention, avant que les fanboys Apple débarquent pour dire que "vous voyez, Android ça pue" (*), voilà une autre news intéressante...

Report: 68% of iPhone Apps Do Not Secure Your Personal Information


(*) Je suis un peu mauvaise langue, cette actu est là depuis une semaine et il n'y a encore aucun message de ce type...