211service.com
Mauvaise conduite de l'application mobile Android
Les failles de sécurité et les logiciels espions constituent désormais un problème sérieux pour les utilisateurs de smartphones.

Serpent de Troie : Une application Android appelée Tap Snake se présente comme un jeu innocent, mais peut être utilisée pour suivre les utilisateurs involontaires via GPS. Cet écran affiche les autorisations dont il a besoin.
En juillet, par exemple, Citigroup a annoncé que son programme de banque mobile pour iPhone enregistrait de manière inappropriée des informations confidentielles, y compris les numéros de compte de l'utilisateur et son code PIN, non cryptées dans un fichier caché accessible par d'autres programmes exécutés sur l'iPhone de l'utilisateur. Les numéros de compte et le code PIN ont également été copiés sur l'ordinateur de bureau de l'utilisateur lors de la synchronisation de l'iPhone.
Les choses vont un peu mieux sur la plate-forme Android de Google grâce au modèle de sécurité sous-jacent du système d'exploitation. Les applications iPhone ont un accès complet aux données de chaque application. Mais les applications Android doivent spécifier les autorisations dont elles ont besoin. Les autorisations peuvent inclure la possibilité d'accéder aux entrées du carnet d'adresses de l'utilisateur, de déterminer l'emplacement d'un appareil à l'aide du GPS et de passer des appels téléphoniques. Les autorisations sont situées dans un fichier spécial et affichées lors de l'installation de l'application ; ils sont également visibles dans le panneau de configuration de l'application Android. Android prend actuellement en charge 114 autorisations différentes, que vous pouvez voir sur le site développeur .
Le système d'autorisations d'Android n'empêche pas les applications de voler vos données ou d'effectuer d'autres actions malveillantes. Il facilite simplement la recherche des applications engagées dans cette pratique. Mais il devient de plus en plus clair que cela ne suffit pas toujours.
En juillet dernier, par exemple, les chercheurs ont découvert qu'un programme de fond d'écran gratuit pour Android appelé Jackeey collectait des informations personnelles, notamment les numéros de téléphone de l'utilisateur, les informations de messagerie vocale et les données de l'opérateur, et les envoyait à un site Web en Chine. Puis, en août, il a été découvert qu'un jeu gratuit appelé Tap Snake est en fait un outil permettant de surveiller secrètement l'emplacement d'une personne. Tap Snake fonctionne comme un service d'arrière-plan et envoie l'emplacement d'un téléphone à un site Web ; la personne qui a installé le jeu sur ce téléphone pourrait alors surveiller l'emplacement du téléphone avec un autre programme appelé GPS Spy.
Tap Snake ne viole pas le modèle de sécurité Android : le programme nécessite la capacité de fonctionner en tant que service, de surveiller la position GPS et de communiquer sur Internet. Mais il y a deux problèmes avec le modèle de sécurité Android. Le premier est la granularité : bien que les programmes Android soient tenus de dire à l'utilisateur quelles autorisations ils utilisent, cela n'explique pas ce que les applications font réellement avec ces autorisations. Le deuxième problème est l'engagement : le modèle exige que quelqu'un utilise ces informations et assume la responsabilité de la sécurité de l'utilisateur.
Un examen de quelques applications Android met en évidence ce problème. Il y a quelques semaines, on m'a recommandé une application appelée Rare Black Wallpapers comme moyen d'économiser la batterie. J'ai noté que l'application nécessitait la possibilité de modifier ou de supprimer le contenu de la carte SD, un accès Internet complet et la possibilité de lire l'état et l'identité de mon téléphone. Surpris, j'ai envoyé un e-mail à Hero Planet, la société qui fournit cette application, et leur ai demandé pourquoi ces autorisations étaient nécessaires. Hero Planet n'a jamais répondu, j'ai donc désinstallé le programme.
De même, le programme Salamander eBook Reader pour Android nécessite des autorisations pour déterminer votre position physique, obtenir un accès Internet complet et lire l'état et l'identité du téléphone. J'ai envoyé un e-mail à Feel Social, l'éditeur, mais je n'ai reçu aucune réponse. Le site Web de Feel Social semble avoir été abandonné et personne n'a répondu au téléphone de l'entreprise lorsque j'ai appelé. Mais l'application est toujours sur Google Marketplace ; que fait cette application avec mes informations GPS et mon accès complet au réseau ? Je l'ai désinstallé aussi.
Un autre programme qui nécessite plus d'autorisations que je ne le pensais est Documents to Go, un programme qui me permet de lire des fichiers Microsoft Office avec mon téléphone Android. Ce programme nécessite non seulement la capacité de lire et d'écrire sur la carte SD du téléphone, mais également un accès Internet complet et la capacité de lire l'état et l'identité du téléphone. Il démarre également automatiquement lorsque le téléphone démarre. J'ai envoyé un e-mail à DataViz, le créateur du programme, et cette fois j'ai reçu une réponse.
Laura Caiafa, responsable du support technique chez DataViz, m'a répondu que Documents to Go sur Android nécessite la capacité de lire l'identité du téléphone car il relie les enregistrements de produits au numéro IMEI/MEID du téléphone (une sorte de numéro de série). De plus, nous vérifions l'état du réseau du téléphone pour l'itinérance avant d'autoriser l'utilisateur à s'inscrire, ce qui nécessite également cette autorisation.
Un accès Internet complet est requis pour enregistrer l'application (ce que Documents to Go fait directement, plutôt que via le navigateur Web). Enfin, le programme démarre l'installation lorsqu'un téléphone est allumé.
Un problème avec cette approche d'enquête manuelle est qu'elle prend énormément de temps. Un deuxième problème est que vous ne pouvez pas savoir ce que le téléphone fait avec ces autorisations : envoie-t-il mes données confidentielles à des escrocs, utilise-t-il ma position et mon accès Internet pour me montrer des publicités basées sur la localisation, ou est-ce simplement en train d'enregistrer mon l'application pour que je puisse obtenir des mises à jour gratuites ?
Une solution de travail à ce problème sera présentée mercredi à la Symposium Usenix sur la conception et la mise en œuvre des systèmes d'exploitation (OSDI) à Vancouver, Canada. Appelé TaintDroid, le programme utilise une approche appelée étiquetage ou altération des données pour surveiller le flux d'informations personnelles via un téléphone Android en cours d'exécution.
Développé par des chercheurs de la Pennsylvania State University, de la Duke University et d'Intel Labs, TaintDroid a été conçu pour analyser 30 applications Android différentes. Les chercheurs ont fait des découvertes très intéressantes. Par exemple, bien que 21 des 30 applications nécessitaient l'autorisation de lire l'état du téléphone et l'autorisation de communiquer sur Internet, seules deux des applications ont effectivement transmis le numéro de téléphone ou le code unique de l'appareil au serveur distant. L'un d'eux transmet les informations à chaque démarrage du téléphone, permettant au développeur de savoir combien de téléphones ont actuellement l'application installée, mais violant également la vie privée de chaque utilisateur de manière assez significative.
Les chercheurs écrivent dans leur article que la moitié des applications qu'ils ont surveillées ont transmis les données de localisation de l'utilisateur à des serveurs publicitaires tiers sans nécessiter le consentement implicite ou explicite de l'utilisateur, c'est-à-dire sans divulguer ce fait dans le contrat de licence d'utilisateur final de l'application. Dans certains cas, les données de localisation étaient transmises aux serveurs de publicité même lorsqu'aucune publicité n'était affichée dans l'application. Vous pouvez télécharger le document à partir des chercheurs site Internet .
Certains commentateurs peuvent affirmer que le document OSDI est une preuve supplémentaire que la politique d'Apple consistant à contrôler manuellement chaque application dans sa boutique d'applications est supérieure à la politique Android. La vérité est que nous ne savons tout simplement pas combien d'applications cachées dans l'App Store d'Apple volent des informations personnelles, car il n'existe aucun moyen simple d'auditer les capacités des programmes disponibles au téléchargement. Le processus de révision d'Apple n'évalue pas le code source de l'application, il serait donc possible pour un développeur malveillant (ou même un seul programmeur au sein d'une société de développement d'applications) de se faufiler quelque chose. Au moins avec Android, le système d'exploitation essaie d'empêcher les applications d'accéder aux données des autres et d'utiliser Internet à moins qu'elles ne demandent cette autorisation.
Un autre facteur en faveur d'Android est son utilisation du système d'exploitation Linux, pour lequel tout le code source est disponible. Les chercheurs de Penn State, Duke et Intel pourraient développer TaintDroid car il est relativement facile de se mettre sous le capot d'Android et d'installer les fonctionnalités nécessaires. Bien qu'il soit possible d'obtenir les mêmes résultats sur l'iPhone, le processus de rétro-ingénierie serait considérablement plus difficile.
Mais les informations sur le mauvais comportement des applications ne suffiront pas à assurer la sécurité des utilisateurs d'Android. Les utilisateurs manquent simplement de vigilance et de connaissances pour utiliser les informations fournies par Android. À moins que Google n'établisse des politiques de protection de la vie privée de ses utilisateurs mobiles, Android sera de plus en plus perçu comme un système en proie à des problèmes de sécurité, même si la vraie raison en est que nous avons une meilleure idée de ce qui se passe sur Android que sur le d'autres plates-formes de téléphones intelligents.