Firefox OS mobile de Mozilla soulève des questions de sécurité

Le nouveau Firefox OS de Mozilla pour les smartphones bas de gamme, destiné initialement aux marchés d'Europe de l'Est et d'Amérique du Sud, sera confronté à des défis pour protéger les utilisateurs contre les applications mobiles malveillantes qui constituent un problème croissant dans le monde.





Smartphone Alcatel-Lucent One Touch

Basé sur le Web : One Touch Fire d'Alcatel, l'un des deux modèles annoncés qui exécuteront Firefox OS, affiche un écran d'applications.

Des applications malveillantes sont connues pour s'infiltrer dans les magasins d'applications d'Apple et de Google, même face au contrôle de sécurité. Les marchés Android non officiels sont plus problématiques, où les contrefaçons d'applications populaires font partie des versions malveillantes qui surgissent (voir Les attaques sur les appareils Android s'intensifient ). En réponse, une industrie se développe autour d'entreprises de sécurité mobile comme Lookout (voir Comment détecter les applications qui fuient vos données ).

Dans le cas de Mozilla, le problème est qu'il ne rendra pas seulement des applications disponibles via son magasin d'applications traditionnel, appelé Firefox Marketplace. En outre, la société encouragera les développeurs à créer des applications pouvant être téléchargées à partir du Web ou exécutées à partir d'un site Web. (Bien qu'il soit possible de télécharger des applications Android hébergées indépendamment, la pratique n'est pas très courante.) Le système d'exploitation est basé sur un langage appelé HTML5, qui fait essentiellement fonctionner les applications Web ainsi que les logiciels de bureau. Il permet aux sites Web consultés sur des appareils mobiles d'agir comme des applications qui ont été téléchargées. Les chercheurs disent depuis longtemps que cela soulève des problèmes de sécurité (voir Les nouvelles normes Web apportent de nouvelles inquiétudes en matière de sécurité ).



On ne sait pas comment Mozilla filtrera les applications pour éliminer celles qui pourraient poser des menaces ou des problèmes de confidentialité, dit Janne Lindqvist , chercheur en sécurité mobile au Winlab de l'Université Rutgers. Comment contrôlez-vous la confidentialité et la sécurité de l'utilisateur si vous la rendez si flexible qu'avec juste une recherche par mot-clé, vous avez beaucoup d'applications disponibles ? Je ne peux pas du tout comprendre à ce stade quel sera le modèle de sécurité, dit-il. Qui contrôle ce qui apparaît sur votre téléphone avec les recherches et qui contrôle le type d'informations que possèdent ces applications apparaissant soudainement ?

Un porte-parole de Mozilla a déclaré que les utilisateurs peuvent s'attendre à toute la sécurité, la confidentialité, la personnalisation et le contrôle utilisateur que Firefox a toujours fournis, ajoutant : conçu pour protéger l'utilisateur des applications et du contenu malveillants, Firefox OS protège également les applications les unes des autres.

Dans une étape visant à sécuriser les applications téléchargées, la société demande aux développeurs de paquet applications téléchargeables dans un fichier zip qui a été signé cryptographiquement par le magasin d'où il provient, garantissant qu'il a été examiné. Un porte-parole ajoute que les applications qui reviennent de la recherche n'ont qu'un accès limité aux interfaces de programmation et aux applications de l'appareil, à moins que l'utilisateur n'autorise un accès supplémentaire. Bien que de telles étapes montrent que Mozilla réfléchit clairement aux problèmes potentiels, dit Lindqvist, on ne sait pas encore clairement comment fonctionnent la sécurité de la recherche et de la découverte d'applications et la protection de la confidentialité.

Le système d'exploitation dans son ensemble est conçu pour fonctionner sur des téléphones à faible consommation d'énergie et moins chers destinés à la vente dans les pays en développement. Lors de l'événement Mobile World Congress à Barcelone cette semaine, la société annoncé les premiers combinés de ce type sur lesquels il fonctionnerait, notamment le ZTE Open et le One Touch Fire d'Alcatel. Mozilla a déclaré que 17 opérateurs dans le monde - au Brésil, en Colombie, en Hongrie, au Mexique, au Monténégro, en Pologne, en Serbie, en Espagne et au Venezuela - offriront des services, dans certains cas en personnalisant le système d'exploitation pour leurs marchés. Deutsche Telekom indique que l'Alcatel One Touch Fire sera disponible en Pologne cet été, puis dans d'autres pays d'Europe de l'Est ; Telefonica a déclaré que le téléphone serait lancé sur tous ses marchés dans l'année.

Au Mobile World Congress, Jay Sullivan, vice-président senior des produits de Mozilla, montré comment les recherches font apparaître les applications. Quand Sullivan a recherché le film Chute du ciel , l'interface du téléphone a changé pour afficher des applications pour les services liés aux films tels que les sites de critiques et le site d'achat de billets Fandango. Je ne suis pas allé dans une boutique d'applications et j'ai dit « Quelles sont les bonnes applications de cinéma ? » a-t-il dit. Il m'a été livré en fonction de ce qui me tient à cœur en ce moment, et c'est un concept très puissant.

La façon dont Firefox OS décide laquelle de ces applications Web afficher sera importante. Une méthode d'attaque standard avec Android consiste à prendre une nouvelle application d'un marché traditionnel, à insérer un logiciel malveillant et à la remplacer. Dans certains cas, le nouveau logiciel peut envoyer des messages SMS payants qui vous coûtent de l'argent. Ou des applications malveillantes peuvent propager des attaques de phishing, en distribuant des adresses Web à des sites frauduleux. Parfois, les applications divulguent des données personnelles.

Les applications Web pourraient être soumises aux mêmes types d'attaques. Mais Tim Wyatt, chercheur en sécurité chez Lookout, dit qu'il est trop tôt pour dire si la nouvelle approche sera globalement pire pour les utilisateurs. Il est difficile d'évaluer tous les contrôles que Mozilla a mis en place, dit-il. Les applications HTML5 sont assez [nouvelles] pour toutes les personnes concernées, et toute plate-forme qui atteint une masse critique d'adoption peut devenir une cible.

cacher