Discussion :

[LordDaedalus]

Bjr

L'idée consiste à aller lire des informations dans le téléphone sans que l'utilisateur s'en rende compte.

Pour cela, j'ai réalisé un POC très simple.

Dans un premier temps j'ai installé un fichier texte dans le repertoire download du Mobile.

Dans un deuxième temps j'ai réalisé un POC allant lire le fichier texte sans demander l'autorisation à l'utilisateur.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
 
public void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_main);
 
        File sdcard = Environment.getExternalStorageDirectory();
        File fileTest = new File(sdcard,"download/test.txt");
        Log.i("TEST", "Path Test = " + fileTest.getPath()); 
 
        try{
	    	//lecture du fichier
	    	BufferedReader in  = new BufferedReader(new FileReader(fileTest));
	    	String line;
	    	while ((line = in.readLine()) != null) {
	    		Log.i("ISI", "ligne =" + line);
	    		info = info + line + "\n";
 
	    	}
	    	in.close();
 
	    }
	    catch(Exception e){
	    	Log.i("TEST", "err = " + e.getMessage());
	    }
 
        tv = (TextView)findViewById(R.id.tvInfo);
        tv.setText(info);
 
    }

Puis, j'ai lancé l'installation du programme sur un Mobile. Celui-ci s'est installé sans aucune permission et a été lire le fichier texte sans avertir l'utilisateur.

En d'autres termes, il n'est pas nécessaire d'avoir une permission pour scanner la SDcard interne ou externe et lire les fichiers qui s'y trouvent.

Par contre, il faut obligatoirement une permission pour écrire sur le SDcard

QUESTION : est-ce une faille de sécurité ?

[nicroman]

Writing to this path requires the WRITE_EXTERNAL_STORAGE permission. In a future platform release, access to this path will require the READ_EXTERNAL_STORAGE permission, which is automatically granted if you hold the write permission.

Par contre:

il n'est pas nécessaire d'avoir une permission pour scanner la SDcard interne ou externe et lire les fichiers qui s'y trouvent.

Ce répertoire correspond au "stockage publique" (celui accessible quand on utilise le téléphone comme USB Mass Storage), en bref... aux données "publiques" du téléphone.