Android Market : « Nous désactivons toute application qui s'avèrerait malicieuse pour l'utilisateur »

[LeSmurf]

Citation:

Envoyé par Paul TOTH

oui...et qui utilise SRWare Iron au lieu de Chrome ?

On en revient à ce que j'évoquais plus haut : la sensibilisation. Face aux pubs de Google dans le métro et sur les sites Google-isés, la visibilité n'est pas la même, sans compter que beaucoup ne comprennent pas ce que cela change.

J'ai parlé à quelques utilisateurs de Chrome de l'identifiant unique présent dans leur navigateur, contrairement à Chromium, sans grand succès.

[stailer]

Depuis près de 8 mois sur Android :

Personne ne s'est plein d'appels reçus de ma part , personne ne s'est plein de recevoir des SMS de ma part et mon compte SMS est ok.
Personne ne s'est plein de recevoir des mails à la con de ma part (mon email porte mon nom il est facile de me retrouver).

Bref, pour un "nid à spywares" ou je sais pas trop quoi, c'est bizarre qu'après 8 mois et des dizaines d'applis installées ou désinstallées rien ne me soit arrivé.

La petite "gueguerre Iphone/Android/Reste du monde" est vraiment ridicule.

[batataw]

Je ne sais pas si cette news est fondée mais si elle est véridique comme d'habitude les geeks et autres informaticiens seront se prémunir contre cela et le grand public va morfler.

Ceux qui disent que c'est comme un PC ben non c'est un smartphone et j'ai pas envie d'avoir à vérifier que l'appli que je télécharge est risquée. Je suis pas sur un site de Warez ou sur Emule, je suis sur le Google Market. Android risque de perdre une bataille hautement stratégique, si cette information est réelle.

[Skefrep]

Petit plus amusant, les chiffres sont déjà tombés à 20% d'applications suspectes sur le site du monde

Je relèverai un commentaire intéressant sur cet article :

Citation:

PhilippeD a dit :
Amusant quand on sait qu’il faut tout dire à Apple; de son numéro de carte de crédit à son age en passant par son email; pour pouvoir seulement s’inscrire sur l’AppleStore.

Comme quoi, aucun des deux systèmes n'est vraiment sûr...

[lequebecois79]

Citation:

Envoyé par batataw

Je ne sais pas si cette news est fondée mais si elle est véridique comme d'habitude les geeks et autres informaticiens seront se prémunir contre cela et le grand public va morfler.

Ceux qui disent que c'est comme un PC ben non c'est un smartphone et j'ai pas envie d'avoir à vérifier que l'appli que je télécharge est risquée. Je suis pas sur un site de Warez ou sur Emule, je suis sur le Google Market. Android risque de perdre une bataille hautement stratégique, si cette information est réelle.

tel que déjà dit, tu es jamais sûr de ce que l'application fait en arrière à moins d'avoir les sources et apple ne déroge pas à cela

[FloMo]

Citation:

Envoyé par dams78

Ils font comment Apple pour vérifier une application?

Grosso-modo :
- ils vérifient que ton appli fonctionne correctement, (de plus en plus exigeants sur la qualité d'ailleurs)
- ils vérifient que le contenu est cohérent et adéquat,
- ils regardent ce que tu fais passer sur le réseau, (ils interdisent maintenant de transférer des données personnelles sans avertir l'utilisateur)
- ils regardent également si tu n'utilises pas d'API qui sont privées.

En gros, c'est le contrôle qualité.

[FloMo]

Citation:

Envoyé par lequebecois79

tel que déjà dit, tu n'es jamais sûr de ce que l'application fait en arrière à moins d'avoir les sources et apple ne déroge pas à cela

Sauf que si une appli envoie des informations lors de la validation, elle n'est pas validée.
Si elle ne les envoie qu'après, elle est virée. (et peut, en cas de grosse nécessité, être désinstallée à distance)

[dams78]

Citation:

Envoyé par FloMo

Grosso-modo :
- ils vérifient que ton appli fonctionne correctement, (de plus en plus exigeants sur la qualité d'ailleurs)
- ils vérifient que le contenu est cohérent et adéquat,
- ils regardent ce que tu fais passer sur le réseau, (ils interdisent maintenant de transférer des données personnelles sans avertir l'utilisateur)
- ils regardent également si tu n'utilises pas d'API qui sont privées.

En gros, c'est le contrôle qualité.

Ce sont des tests fait à la main ça?
Et ils arrivent à tester toutes les applications qui sont sur l'Apple Store?

[batataw]

Citation:

Envoyé par lequebecois79

tel que déjà dit, tu es jamais sûr de ce que l'application fait en arrière à moins d'avoir les sources et apple ne déroge pas à cela

Et on fait quoi? On essaye de poser des règles, des filtres ou des écluses pour essayer d'assénir le phénomène ou on laisse l'utilisateur final se démerder en lui disant soyez prudent quand vous acheter des applications dans notre magasin il peut y avoir des trojans.

Encore une fois, j'ai pas envie d'avoir a vérifier la dangerosité d'une appli que je télécharge que cela soit sur l'Apple Store ou le Google Market.

On en est pas encore la mais il faut pas s'étonner après que l'utilisateur lambda se dise bon je prends un Iphone on m'a dit qu'il y a moins d'emmerde.

[MrDuChnok]

Android possède également un système pour lutter contre une application malvaillante :
http://android-developers.blogspot.c...plication.html

Ils peuvent à distance désactiver l'application en informant l'utilisateur.

Citation:

Grosso-modo :
- ils vérifient que ton appli fonctionne correctement, (de plus en plus exigeants sur la qualité d'ailleurs)
- ils vérifient que le contenu est cohérent et adéquat,
- ils regardent ce que tu fais passer sur le réseau, (ils interdisent maintenant de transférer des données personnelles sans avertir l'utilisateur)
- ils regardent également si tu n'utilises pas d'API qui sont privées.

En gros, c'est le contrôle qualité.

Je rajouterais à ça qu'ils vérifient que l'application n'empiète pas sur leurs plates bandes, n'utilisent pas des technologies exotiques, n'utilise pas des boutons ronds (si je me trompe pas, ils avaient viré une application de l'apple store pour ça), etc.

[Gordon Fowler]

« Nous désactivons toute application qui s'avèrerait malicieuse pour l'utilisateur »
Répond Google France, suite à l'étude de SMobile Systems sur l'Android Market


Google n'a pas tardé à réagir à l'étude de S-Mobiles qui accusait l'Android Market d'héberger de très nombreuses applications qualifiées de « suspectes » (lire ci-avant).

« Nous souhaiterions clarifier le point de la sécurité des applications proposées dans l'Android Market », nous a demandé Google France par mail.

« Ce rapport suggère que les utilisateurs d'Android ne contrôlent pas la sécurité des applications installées sur leur téléphone Android. Or non seulement chaque application Android requiert pour son installation l'accord de l'utilisateur pour accéder à des informations sensibles, mais en plus les développeurs du Market sont aussi soumis à des vérifications sur la facturation de leurs applications afin de confirmer leur identité ».

Voilà qui rassurera les utilisateurs du petit robot vert. D'autant plus que Google France assure également que « nous désactivons toute application qui s'avèrerait malicieuse pour l'utilisateur ».

Mais dans « avérerait », il y a la notion de réaction, et pas de démarche pro-active comme sur l'AppStore ou le futur MarketPlace de Windows Phone 7.

Un choix qui peut parfaitement se justifier (neutralité de Google, rapidité et facilité de soumission, etc.).

Mais un choix qui pose la question de savoir comment ces applications malicieuses sont repérées.

Puisqu'il ne pratique pas de tests de sécurité au moment où le code est soumis à l'Android Market, comment Google sépare-t-il le bon grain de l'ivraie ?

« Les applications malicieuses sont le plus souvent signalées par la communauté d'utilisateurs », admet son porte parole. L'application est alors testée sur le champ et, le cas échéant, retirée.

« Mais nous surveillons également étroitement la plateforme pour chasser toute application frauduleuse ». Cette tâche incombe aux équipes internes en charge du projet Android et de son MarketPlace.

Modération a posteriori contre sélection a priori, à chacun de choisir sa méthode préférée.


Source : Mails de Google France et la rédaction


Et vous ?

Quelle méthode préférez-vous : la modération après validation ou la sélection au moment de la proposition de l'appli ?

[dams78]

Citation:

Envoyé par Gordon Fowler

Quelle méthode préférez-vous : la modération après validation ou la sélection au moment de la proposition de l'appli ?

Moi j'ai du mal à comprendre comment on peut tester efficacement chaque application (plus de 100.000 c'est ça?)!

[Floréal]

Est-ce qu'au final ce n'est pas la même problématique que Mozilla a eu à gérer avec les extensions pour Firefox?

[Gordon Fowler]

Citation:

Envoyé par Floréal

Est-ce qu'au final ce n'est pas la même problématique que Mozilla a eu à gérer avec les extensions pour Firefox?

+1

[umeboshi]

Quelle méthode préférez-vous : la modération après validation ou la sélection au moment de la proposition de l'appli ?

modérer après, dans le cas d'un ver, ça me fait un peu peur, mais pourquoi pas.

[Paul TOTH]

Citation:

Envoyé par umeboshi

Quelle méthode préférez-vous : la modération après validation ou la sélection au moment de la proposition de l'appli ?

modérer après, dans le cas d'un ver, ça me fait un peu peur, mais pourquoi pas.

il faudrait un ver à retardement pour qu'il soit efficace...genre au bout de six mois ou tout le monde s'est échangé le nouveau truc super drôle qui sert à rien, se transforme tout d'un coup en un méchant ver qui fait tout péter...reste à savoir comment il le ferait mais bon

et donc Google aurait alors l'identité de l'auteur de cette attaque qui lui vaudrait une célébrité à la hauteur des ennuis qu'il encourerait.

EDIT: je vous invite également à lire les conditions générales de vente de l'Apple Store et notamment la partie leur responsabilité

Citation:

11. Notre responsabilité

11.1 Si vous êtes un Consommateur, rien dans le Contrat ne saurait limiter ou exclure notre responsabilité pour un manquement à l'une quelconque des obligations à notre charge en vertu d’une disposition légale d’ordre public. Si vous n'êtes pas un Consommateur : 11.1.1 les présentes conditions générales décrivent l'ensemble de nos obligations et responsabilités concernant la fourniture des Produits (ainsi que l’utilisation de notre assistance téléphonique et notre service de garantie) et de la réalisation des Services; 11.1.2 les seules obligations et garanties qui nous incombent sont celles expressément énoncées dans le Contrat, à l'exclusion de toutes autres garanties et/ou obligations ; et 11.1.3 toute garantie et/ou obligation concernant les Produits ou Services qui pourrait être à notre charge en vertu d'une disposition légale (ceci incluant notamment toute obligation implicite concernant la qualité, l'adéquation à un usage particulier, le soin et les aptitudes raisonnables à mettre en œuvre) est par la présente expressément exclue. En particulier, Apple n’a pas d’obligations de s’assurer que les Produits correspondent à vos besoins.

11.2 Rien dans le Contrat ne peut limiter ou exclure notre responsabilité en cas de décès ou de dommages corporels causés par notre négligence ou par fraude.

11.3 Sous réserve des dispositions de l'article 11.2, notre responsabilité ne pourra pas être engagée en vertu du Contrat pour toute perte de revenus, perte de profits, perte de contrats, perte de données ainsi que pour tout autre dommage, même s'il est causé par notre faute (incluant la négligence), la violation de nos obligations contractuelles ou tout autre fondement.

11.4 Sous réserve des dispositions de l’article 11.2, notre responsabilité ne pourra être engagée en vertu du Contrat dès lors que l’inexécution ou la mauvaise exécution du Contrat serait de votre propre fait, soit du fait, imprévisible et insurmontable, d’un tiers au Contrat, soit du fait d’un cas de force majeure tel que précisé à l’article 15.

11.5 Sous réserve des dispositions de l'article 11.2, notre responsabilité totale est plafonnée, quel que soit son fondement, au montant payé par vous pour le(s) Produit(s) et/ou Services en cause.

Vous pouvez mourir tranquille ! vous vous sentez en sécurité maintenant ?

[lequebecois79]

Citation:

Envoyé par Gordon Fowler

Mais dans « avérerait », il y a la notion de réaction, et pas de démarche pro-active comme sur l'AppStore ou le futur MarketPlace de Windows Phone 7.

tu peux expliquer comment une application sur l'appstore serait plus sécuritaire qu'une application android?

[Gordon Fowler]

Citation:

Envoyé par lequebecois79

tu peux expliquer comment une application sur l'appstore serait plus sécuritaire qu'une application android?

Si la question s'adresse à moi je ne peux que te demander où tu as vu que j'avais écrit un truc pareil ?
J'ai parlé de deux démarches, une pro-active et un autre réactive, en disant que les deux avaient leurs logiques légitimes.

Cordialement,

Gordon

[lequebecois79]

Citation:

Envoyé par Gordon Fowler

Si la question s'adresse à moi je ne peux que te demander où tu as vu que j'avais écrit un truc pareil ?
J'ai parlé de deux démarches, une pro-active et un autre réactive, en disant que les deux avaient leurs logiques légitimes.

Cordialement,

Gordon

Citation:

Mais dans « avérerait », il y a la notion de réaction, et pas de démarche pro-active comme sur l'AppStore ou le futur MarketPlace de Windows Phone 7.

la tournure de phrase donne comme l'impression qu'une démarche pro-active est mieux

[henolivier]

Et toute cette discussion est partie sur un rapport d'une boîte et dont les explications ne parlent pas du nombre d'applications effectivement frauduleuses mais uniquement du nombre de permissions qu'une application demande.

En effet, en lisant leurs rapports, ils indiquent qu'ils estiment qu'une application est dangereuse à partir du moment ou elle utilise au moins 2 permissions utilisant des données privées (avec ou sans légitimité de les utiliser).

Comme exemple, une application géolocalisant les restaurants autour de nous avec possibilité de les appeler demande au minimum 2 permissions (localisation et possibilité de faire des appels), elle sera automatiquement identifiée comme à risque car elle demandera au moins 2 permissions.
(je sais pas si une application pareille existe sous Android, mais une existe pour IPhone a Pékin).

Bien évidemment, je ne doute pas que certaines applications pourront être problématique (et donc les retirer à fortiori et à distance me parait un minumum même si avant serait mieux)
Mais leurs méthodes de vérification de la dangerosité d'une application me parait personnellement un peu trop sommaire pour être efficace.