Des apps papier-peint sous Android récupèrent des infos personnelles
Faut-il vraiment un n° de téléphone pour changer de wallpaper ?
Lors de la conférence Black Hat de Las Vegas des chercheurs de la société de sécurité sur mobile Lookout ont expliqué avoir étudié plusieurs applications de papiers-peints pour Android qui accédaient sans raison valable à des informations personnelles sur le téléphone, et les envoyaient sur un serveur en Chine.
Ces applications ont été développées par "Jackeey,wallpaper" (qui a depuis la publication originale de l'actualité changé de nom pour "callmejack") et "IceskYsl@1sters!”. Apparemment sans aucune liaison avec leur utilité, ces applications accèdent : au numéro de téléphone de l'appareil, à l'identifiant de l'abonné (l'IMSI) et au numéro enregistré pour la boite vocale. En analysant le code de ces applications, les chercheurs ont trouvé que les parties incriminantes étaient pratiquement similaires pour les deux développeurs.
En plus d'accéder à ces données, une analyse du trafic provenant de l'une de ces application montre que ces informations sont envoyée, par une connexion HTTP non sécurisée, sur le serveur imnet.us. Un whois sur ce nom de domaine montre qu'il a été enregistré en Chine.
Selon Androlib, les applications de "Jackeey, wallpaper" ont été téléchargées entre 1 et 4 millions de fois, et celles de "IceskYsl@1sters!" entre 140 000 et 592 000 fois. Et selon Lookout, la presque totalité des 80 applications de ces deux développeurs accèdent à ces données.
Les chercheurs précisent bien que rien ne prouve que ces développeurs aient des intentions malveillantes, puisque dans de nombreux cas il s'est révélé que des codeurs ont simplement été trop zélés, et n'utilisaient pas ces informations. Une autre explication qui nous vient à l'esprit pourrait être qu'un copier/coller de lignes de codes un peu bâclé, et être ainsi à l'origine du problème.
En tout cas, les chercheurs profitent de ce cas pour rappeler à tous que même les applications les plus anodines peuvent parfois essayer d'accéder à leurs données privées sans raison, et qu'il faut donc être prudent. L'OS Android est justement conçu pour avertir les utilisateurs des données accessibles aux applications. C'est à l'utilisateur de gérer ces autorisations en fonction de la confiance que accordée aux développeurs de l'application, et des fonctions de ladite app.
Ces applications ont été développées par "Jackeey,wallpaper" (qui a depuis la publication originale de l'actualité changé de nom pour "callmejack") et "IceskYsl@1sters!”. Apparemment sans aucune liaison avec leur utilité, ces applications accèdent : au numéro de téléphone de l'appareil, à l'identifiant de l'abonné (l'IMSI) et au numéro enregistré pour la boite vocale. En analysant le code de ces applications, les chercheurs ont trouvé que les parties incriminantes étaient pratiquement similaires pour les deux développeurs.
En plus d'accéder à ces données, une analyse du trafic provenant de l'une de ces application montre que ces informations sont envoyée, par une connexion HTTP non sécurisée, sur le serveur imnet.us. Un whois sur ce nom de domaine montre qu'il a été enregistré en Chine.
Selon Androlib, les applications de "Jackeey, wallpaper" ont été téléchargées entre 1 et 4 millions de fois, et celles de "IceskYsl@1sters!" entre 140 000 et 592 000 fois. Et selon Lookout, la presque totalité des 80 applications de ces deux développeurs accèdent à ces données.
Les chercheurs précisent bien que rien ne prouve que ces développeurs aient des intentions malveillantes, puisque dans de nombreux cas il s'est révélé que des codeurs ont simplement été trop zélés, et n'utilisaient pas ces informations. Une autre explication qui nous vient à l'esprit pourrait être qu'un copier/coller de lignes de codes un peu bâclé, et être ainsi à l'origine du problème.
En tout cas, les chercheurs profitent de ce cas pour rappeler à tous que même les applications les plus anodines peuvent parfois essayer d'accéder à leurs données privées sans raison, et qu'il faut donc être prudent. L'OS Android est justement conçu pour avertir les utilisateurs des données accessibles aux applications. C'est à l'utilisateur de gérer ces autorisations en fonction de la confiance que accordée aux développeurs de l'application, et des fonctions de ladite app.
Jeff,
Le 30 juillet 2010 à 10:52
(20 091
lectures)
Il y a 167 commentaires
INpactien
Eh oui, comme quoi, les discours libristes sur la responsabilisation de l'utilisateur face à la sécurité de son système, ds la pratique, ça ne marche pas. 
Je mors un peu à l'hameçon, mais moi, j'interprète ça plutôt dans le sens opposé:
Ceux qui ont cliqué sans lire n'ont pas conscience qu'ils sont responsables.
C'est plutôt un constat d'échec du modèle "faisons tout à la place de l'utilisateur", qui a mené à sa déresponsabilisation, et dont le comportement aberrant de l'utilisateur est une conséquence.
C'est d'autant plus grave qu'à moins d'envisager une censure du web, l'utilisateur devra tjrs faire preuve de jugeote pour éviter de se faire avoir.
INpactien
Dunaedine
Le vendredi 30 juillet 2010 à 16:04:32
#142
Inscrit
le samedi 7 janvier 06
-
15989
commentaires
Je mors un peu à l'hameçon, mais moi, j'interprète ça plutôt dans le sens opposé:
Ceux qui ont cliqué sans lire n'ont pas conscience qu'ils sont responsables.
C'est plutôt un constat d'échec du modèle "faisons tout à la place de l'utilisateur", qui a mené à sa déresponsabilisation, et dont le comportement aberrant de l'utilisateur est une conséquence.
C'est d'autant plus grave qu'à moins d'envisager une censure du web, l'utilisateur devra tjrs faire preuve de jugeote pour éviter de se faire avoir.
Ceux qui ont cliqué sans lire n'ont pas conscience qu'ils sont responsables.
C'est plutôt un constat d'échec du modèle "faisons tout à la place de l'utilisateur", qui a mené à sa déresponsabilisation, et dont le comportement aberrant de l'utilisateur est une conséquence.
C'est d'autant plus grave qu'à moins d'envisager une censure du web, l'utilisateur devra tjrs faire preuve de jugeote pour éviter de se faire avoir.
+1 mais bon, commencer à vouloir y mêler le discours libriste, toussa, c'est juste un troll... Juste à peine moins insultant que le commentaire juste au-dessus du siens qui a été swordé.
INpactien
+1 mais bon, commencer à vouloir y mêler le discours libriste, toussa, c'est juste un troll... Juste à peine moins insultant que le commentaire juste au-dessus du siens qui a été swordé.
Le troll, je persiste c'est toi.
Quand on confond un compte iTunes Store avec l'iPhone, l'appareil. C'est qu'on trolle.
Point barre.
INpactien
+1 mais bon, commencer à vouloir y mêler le discours libriste, toussa, c'est juste un troll... Juste à peine moins insultant que le commentaire juste au-dessus du siens qui a été swordé.
Oui, d'autant plus que le débat: "responsabilisation des utilisateurs" / "sécurisation des utilisateurs en restreignant leurs possibilités" n'est pas forcément inhérent au libre. À l'inverse, sous Windows et Mac, l'utilisateur est à 100% responsables des programmes qu'il installe tandis que sous Linux, il a la possibilité de faire confiance aux dépôts "validés" par la distribution.
D'ailleurs, existe-il cette troisième voie sous Android: un store (pas forcément géré par Google) "testé et approuvé par des experts" ?
INpactien
sylnivhp
Le vendredi 30 juillet 2010 à 16:16:20
#145
Inscrit
le samedi 11 février 06
-
5991
commentaires
Problèmes sous Androïde qui donnent fight Apple Fanboy vs autres....!
c'est d'un complexe toussa!
complexe mais divertissant!
A quand le smiley popcorn PCI spécial s'enfoutboy ?
INpactien
Problèmes sous Androïde qui donnent fight Apple Fanboy vs autres....!
c'est d'un complexe toussa!
complexe mais divertissant!
A quand le smiley popcorn PCI spécial s'enfoutboy ?
si tu t'en fous, pourquoi lire ou participer ?
INpactien
pafLaXe
Le vendredi 30 juillet 2010 à 16:21:43
#147
Inscrit
le mardi 19 juillet 05
-
8311
commentaires
D'ailleurs, existe-il cette troisième voie sous Android: un store (pas forcément géré par Google) "testé et approuvé par des experts" ?
C'est un peu le rôle que je donnais a l'Android market mais à priori, ça marche pas comme ça
Après, sauf faille restant à découvrir, au moins quand tu désinstalle un appli, tu peux être sûr qu'elle ne laisse rien trainer derrière elle, c'est déjà un plus par rapport à un OS plus permissif (exepté avec une autorisation spéciale que je n'ai vu jusqu à maintenant que pour les applis installant d'autres applis, les markets quoi).
INpactien
sylnivhp
Le vendredi 30 juillet 2010 à 16:21:57
#148
Inscrit
le samedi 11 février 06
-
5991
commentaires
si tu t'en fous, pourquoi lire ou participer ?
Je l'ai dis, c'est divertissant !
Et je vous en remercie!
INpactien
Je l'ai dis, c'est divertissant !
Et je vous en remercie!
Ben voilà, au revoir alors.
INpactien
doctor madness
Le vendredi 30 juillet 2010 à 16:26:59
#150
Inscrit
le lundi 30 novembre 09
-
1905
commentaires
Oui, d'autant plus que le débat: "responsabilisation des utilisateurs" / "sécurisation des utilisateurs en restreignant leurs possibilités" n'est pas forcément inhérent au libre. À l'inverse, sous Windows et Mac, l'utilisateur est à 100% responsables des programmes qu'il installe tandis que sous Linux, il a la possibilité de faire confiance aux dépôts "validés" par la distribution.
je pense qu'il n'y a meme pas cet antagonisme sécurité/responsabilité.
On le voit bien, celui qui est le plus responsable est souvent celui qui est le plus sécurisé. je n'ai encore jamais d'utilisateur autant informé des outils et des failles de sécurité qu'un utilisateur plus impliqué.
il en va de meme dans d'autres domaines (aéronautique, automobile, juridique, commercial...)
Créé cet antagonisme n'est qu'un moyen de vendre la sécurité, alors que c'est fondamentalement gratuit (sinon on appelle ca du chantage ou de l'extorsion), en faisant croire qu'on se débarrasse de la responsabilité, alors qu'on oublie la septième astérisque du contrat (et on en revient au domaine juridique et commercial)
donc +1 aux propos de j-c_32
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
Bing Translator parle Klingon
(13)
HIjol -
Les jeux sur Google+, c'est fini
(46)
Facebook m'a tuer -
Nouveau Google Maps : demandez votre invitation
(12)
Moi, moi, moi !!! -
Google I/O 2013 : suivez la keynote en direct, de 18h à 21h
(20)
Nous, on a déjà prévu l'apéro cahuètes
-
Adhérents Fnac : tous les 100 € d'achat, 15 € en chèque-cadeau
Valable jusqu'au 23 mai -
Un portable tactile Lenovo Yoga 11 pour 361,58 €
Valable jusqu'au 20 mai -
8 Go de DDR3 Kingston HyperX à 1600 MHz pour 49,99 €
Valable jusqu'au 27 mai -
Une tablette ASUS ME400C et un clavier Microsoft Wedge pour 399,90 €
Valable jusqu'au 20 mai
