Discussion :

[Cedric Chevalier]

Android : neuf millions de smartphones infectés par BadNews
Le malware se serait dissimulé dans 32 applications sur Google Play

Ce n’est plus une surprise, Android constitue la plateforme de prédilection des créateurs de malwares.

Récemment, la firme de sécurité Lookout a découvert un malware baptisé « Bad News » sur la galerie Google Play.

Ce dernier aurait infecté au total 32 applications qui ont été téléchargées 2 000 000 à 9 000 000 de fois selon les estimations de Google. La firme de Mountain view a immédiatement réagi en supprimant les applications infectées, après qu’elle ait reçu la nouvelle de Lookout. On note que 50 % des applications infectées sont en russe.

Une fois installé sur un smartphone, le malware provoque l’apparition de fenêtres intempestives invitant l’utilisateur à télécharger d’autres applications malicieuses. Il envoie également des informations critiques comme le numéro IMEI du smartphone à un serveur distant.

Par contre, une question pend au bout des lèvres : comment Google Play a-t-il pu être infecté par un tel malware alors qu’il est régulièrement scanné ? Les chercheurs de Lookout affirment que ce malware se cache sous les traits d’un réseau de diffusion publicitaire innocent. Cette couverture lui a servi pour éviter le scan méticuleux d’applications malicieuses du Google Play.

Les experts recommandent vivement aux développeurs d’être vigilants sur les bibliothèques tierces qu’ils intègrent à leurs applications et demandent aux responsables de sécurité d’entreprise d’effectuer une surveillance continuelle des applications.


Source : Lookout


Et vous ?

Qu'est-ce qui peut expliquer un tel enthousiasme des créateurs de malwares pour Android ?

[dessma]

Qu'est-ce qui peut expliquer un tel enthousiasme des créateurs de malwares pour Android ?

En voilà une question simple. C'est explicable par la part de marché largement dominante. Très homologue à la situation de Windows sur le marché des pc.

[YoyoS]

Il n'y a pas que cela dessma même si cela joue évidemment. Android est fondamentalement largement plus permissif qu'iOS et nous donne accès à de plus nombreuses fonctions système sur simple demande.

Vu que la plupart des utilisateurs ne regardent pas les permissions qu'ils autorisent, les cris arrivent

[arnolddumas]

Il n'y a pas que cela dessma même si cela joue évidemment. Android est fondamentalement largement plus permissif qu'iOS.

C'est surtout que le Play Store est un peu en open-bar, il n'y a quasiment aucun contrôle pour publier une application. Alors que publier une applications sur l'app store, c'est une autre paire de manches.

De même, certaines technos sont interdites sur iOs. Il est par exemple interdit de faire du JIT. Il faut par exemple voir le portage de Qt vers Android et iOs. Sur Android, pas de souci, on peut faire un peu ce que l'on veut, alors que sur iOs c'est beaucoup plus long, notamment à cause de ces restrictions. Restrictions qui permettent néanmoins d'éviter certaines dérives.

Ainsi, on trouve sur le Play store des applications mal finies, mais aussi des malwares et autres joyeusetés.

[Thorna]

Vu que la plupart des utilisateurs ne regardent pas les permissions qu'ils autorisent, les cris arrivent

Oui, mais que faire quand on cherche une petite appli de chronomètre, par exemple (histoire pas forcément très récente) et que les 20 premières proposées donnent accès au numéro de téléphone (pour quoi faire ?), à la mémoire de la carte SD (pour quoi faire ?), à l'annuaire des contacts, au verrouillage du clavier, à l'état WiFi, etc. et à des tas d'autres trucs inutiles mais qu'on ne peut contourner parce qu'on ne trouve rien qui ne le demande pas ?
Je n'y connais rien en programmation mobile, mais j'imagine que c'est plus simple de dire "je veux tout" plutôt que de chercher quels sont les modules réellement utiles et nécessaires ?

[pcaboche]

Les experts (...) demandent aux responsables de sécurité d’entreprise d’effectuer une surveillance continuelle des applications.

Sous Android ? Quelle blague !

Sous Android, la grande majorité des applications demandent des droits pas possibles pour pouvoir fonctionner (géolocalisation, accès à internet, accès et modification des données...), même lorsque cela n'est pas du tout justifié. Et le plus souvent, l'application refuse tout simplement de fonctionner si on ne lui donne pas tous les droits demandés...

(fait amusant : les mêmes applications sous iOS ne demandent pas autant de droits et fonctionnent parfaitement sans accès internet...).

Donc au final, l'utilisateur n'a que deux choix :
- soit accepter toutes ces conditions (sans vraiment savoir ce que fait réellement l'application avec les données collectées)
- soit tout simplement ne pas utiliser l'application (donc quel intérêt d'avoir acheté le smartphone ?)


À défaut de contrôler toutes les applications sur le market, on aurait pu imaginer pouvoir contourner le problème. Par exemple, pour chaque application, on aurait aimé pouvoir :
- activer/désactiver certaines fonctionnalités (ex: accès réseau, géolocalisation...).
En gros, avoir un "application firewall" pour mobile directment intégré dans le système

- fournir de fausses informations (ex: fausses données de géolocalisation) aux applis un peu trop curieuses et qui refusent de fonctionner sans ces fonctionnalités


Malheureusement, aucune de ces options n'est disponible sous Android (en tous cas, sur le mien, j'ai pas trouvé comment empêcher une application particulière d'accéder au réseau).


Bref, niveau sécurité, Android c'est une vaste blague ! C'est un peu comme si on avait la sécurité d'un Windows 95 (en termes de gestion des droits), mais avec comme argument de vente une application dédiée (Google Play) pour télécharger directement ses chevaux de Troie !


Si on résume les principaux arguments de ventes d'Android :
- des milliers d'applications disponibles (...mais 99% sont des chevaux de Troie)
- la possibilité de configurer comme on veut (...sauf concernant l'accès aux données, où c'est "tout ou rien")
- basé sur linux pour... une meilleure stabilité et plus de sécurité ()


Et si on demande à un responsable de sécurité d’entreprise d'effectuer une surveillance continuelle des applications (comme il est suggéré ici), il y a une manière beaucoup plus simple et appropriée :

Android poubelle.

[s4mk1ng]

Bah le nombre d'appareils tournant sous Android étant en très forte augmentation, il y a un lien de cause à effet assez évident. De plus la playstore a un système de validation d'applications beaucoup plus sommaire que l'apple store.

[YoyoS]

Tout à fait, d'un côté les développeurs doivent s'efforcer de ne faire la demande de permission que pour ce qui est réellement nécessaire, et de l'autre, les utilisateurs doivent crier quand trop de permissions sont demandées pour une calculette par exemple.

Personnellement j'ai rooté mon Android avec une Rom MIUI et je ne dois pas accepter les permissions à l'installation. Elles me sont demandées au cas par cas quand l'application en à besoin.

Dommage que ça ne se trouve pas par défaut.

[Pelote2012]

Et en plus il y a très peu qui pense à mettre un antivirus (il y en a des gratuit comme avast ...) Les gens oublie que le smartphone est un petit ordinateur.

[Marauder]

Il ne se passe quasiment pas une semaine sans que l'on ne parle de problème de sécurité sur android... Je ne regrette pas mon choix d'un Windows phone. Ils ont pour une fois une bonne longueur d'avance...

Signature & chiffrement à tout va, applications validées, sandboxes ,impossibilité d'utiliser en direct sur des trucs sensibles (lancer des appels par ex).

[Simon MARQUIS]

Eh ben ... ce qu'il faut pas entendre.

Signature & chiffrement

Android le fait. Évidemment, le fait de rooter un téléphone doit être pris en considération, ce n'est pas une manipulation sans conséquences.

applications validées

Android le fait. Certes c'est un robot qui va chercher les applications malicieuses... Mais une application de messagerie SMS peut-elle être définie comme malicieuse alors qu'elle a accès aux messages, qu'elle peut en envoyer, etc ? Je ne crois pas. La solution serait qu'un humain vérifie toutes les applications ayant des permissions de ce genre, cependant, cette tâche se révèle presque "impossible" : trop d'applications (la rançon du succès), code obfusqué, etc.

sandboxes

Android le fait (depuis les toutes premières versions). Ca rejoint ton propos sur les signatures et le chiffrement.

impossibilité d'utiliser en direct sur des trucs sensibles (lancer des appels par ex)

Heureusement que Android le permet. Sinon comment faire pour lancer le GPS depuis une application, d'écrire un mail, de partager des documents...


@YoyoS : En effet, cela serait une bonne idée d'implémenter ce genre d'interractions. Il faut voir si cela ne pertube pas trop l'utilisation. Par ailleurs, si les gens ne font pas attention aux permissions demandées lors de l'installation, il n'y a pas de grande chance qu'il y fasse attention lors de l'utilisation... Mais cela permettrait tout de même de pouvoir utiliser des applications en limitant leurs permissions.

[manu007]

C'est étrange, Android visé par les troyans ?

C'est normal, avec la trivialisation des équipements informatiques, il est chaque fois plus facile de voire des usagers avec une formation informatique bonne, mauvaise ou nulle.

Un tablette ou un smartphone est un ordinateur, avec une couche API qui cache ce nous, informaticiens, connaissons bien, peu ou rien, mais nous savons qu'il est là.

Il est, à chaque fois, de plus en plus facile de tromper quelqu'un et d' installer un programme qui ouvre une porte afin de permettre un usage malicieux.

En fait je vois deux problèmes :

1) Formation des usagers
2) Applications sûres

Mais il restera toujours une question : Si l'on peut cloturer un champ. Est-ce que les poteaux sont sûrs ?

J'ai dit étrange... tiens, comme c'est étrange ?

[totocaracana]

Android possède bien plus de virus que ios. Et c'est normal :

android est open-source. Il est bien plus facile de créer un virus quand on connait la bébête.

android est bien plus permissif. Et tant mieux ! Parce que pour les développeurs, c'est un calvaire de développer sur ios. Et je ne parle même pas de l'ajouter à l'appstore. Je pense que beaucoup se sont découragés. Alors que sous android, c'est bien plus simple, et plus rapide.

[madfu]

Et tant mieux ! Parce que pour les développeurs, c'est un calvaire de développer sur ios. Et je ne parle même pas de l'ajouter à l'appstore. Je pense que beaucoup se sont découragés. Alors que sous android, c'est bien plus simple, et plus rapide.

Hum, à nuancer, faire des choses simples sur Android est parfois un vrai calvaire comparé à ios, je ne parle même pas de l'architecture générale du sdk, après pour la publication sur l'appstore d'accord à 200% !!!