Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités
    Avatar de Bruno
    Homme Profil pro
    Enseignant
    Inscrit en
    mai 2019
    Messages
    116
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Enseignant
    Secteur : Enseignement

    Informations forums :
    Inscription : mai 2019
    Messages : 116
    Points : 2 340
    Points
    2 340
    Par défaut Android : plus de 1 000 applications collectent nos données
    Android : plus de 1 000 applications collectent nos données,
    malgré les autorisations refusées

    Les plateformes de smartphone modernes implémentent des modèles basés sur des autorisations pour protéger l'accès aux données sensibles et aux ressources système. Si vous ne souhaitez pas qu'une application puisse lire vos journaux d'appels par exemple, vous devez pouvoir refuser cet accès. Cependant, les applications peuvent contourner le modèle de permission implémenté par Google sur Android et accéder ainsi aux données protégées sans le consentement de l'utilisateur en utilisant des canaux cachés et secondaires.

    Des chercheurs de l'Institut international d'informatique ont découvert plus de 1 000 applications contournant les restrictions, ce qui leur permettrait de rassembler des données de géolocalisation et des identifiants de téléphone précis dans votre dos. Serge Egelman, directeur de la recherche sur la sécurité et la confidentialité à l'ICSI, a présenté l'étude fin juin à la PrivacyCon de la Federal Trade Commission (FTC). « Fondamentalement, les consommateurs disposent de très peu d’outils qu’ils peuvent utiliser pour contrôler raisonnablement leur vie privée et prendre des décisions à ce sujet », a déclaré Egelman lors de la conférence. « Si les développeurs d'applications peuvent simplement contourner le système, demander aux consommateurs l'autorisation de les utiliser est relativement dépourvu de sens ».

    Nom : apps456.png
Affichages : 2211
Taille : 170,3 Ko

    M. Egelman a déclaré que les chercheurs avaient informé Google de ces problèmes en septembre dernier, ainsi que la FTC. Google aurait répondu qu'il s'attaquerait aux problèmes dans Android Q. Selon Google, la mise à jour résoudra le problème en masquant les informations de lieu dans les photos des applications et en exigeant que toutes les applications qui accèdent au Wi-Fi aient également la permission d'obtenir des données de lieu. Ces découvertes mettent en évidence à quel point, il est difficile de rester privé en ligne, en particulier si vous êtes connecté à vos téléphones et applications mobiles. Les entreprises de technologie disposent de montagnes de données personnelles sur des millions de personnes, y compris l'endroit où elles se trouvent, leurs amis et leurs centres d'intérêt.

    Les Smartphones sont utilisés comme ordinateurs à usage général et ont par conséquent accès à un grand nombre de ressources système sensibles (par exemple, des capteurs tels que la caméra, le microphone ou les systèmes GPS), des données privées des utilisateurs (courriers de l'utilisateur ou liste de contacts) et divers identificateurs persistants (IMEI). Il est important, et même urgent de protéger ces renseignements contre tout accès non autorisé. Android, le système d'exploitation de téléphonie mobile le plus populaire, met en œuvre un système basé sur les permissions pour réguler l'accès à ces ressources sensibles par des applications tierces.

    Nom : smartPhone456.png
Affichages : 2187
Taille : 139,3 Ko

    Dans ce modèle, les développeurs d'applications doivent explicitement demander la permission d'accéder aux ressources sensibles dans leur manifeste Android. En procédant ainsi, le modèle est censé donner aux utilisateurs le contrôle pour décider quelles applications peuvent accéder à quelles ressources et informations ; dans la pratique, son application peut être remise en cause. Selon les chercheurs, de par la conception de l’OS Android, tout service tiers groupé dans une application hérite de l'accès à tous les droits que l'utilisateur accorde à l'application. En d'autres termes, si une application peut accéder à l’emplacement de l’utilisateur, alors tous les services tiers intégrés dans cette application le peuvent aussi.

    Comment les applications contournent le système de permissions sur Android ?

    Dans la pratique, les mécanismes de sécurité peuvent souvent être contournés ; les canaux latéraux et les canaux cachés sont deux techniques utilisées pour contourner les mécanismes de sécurité. Ces canaux se produisent lorsqu'il existe un autre moyen d'accéder à la ressource protégée qui n'est pas audité par le mécanisme de sécurité, laissant ainsi la ressource sans protection.

    Le canal caché se présente comme effort intentionnel et délibéré entre deux entités coopérantes, de sorte que l'une ayant accès à certaines données le fournissent à l'autre entité sans accès en violation au mécanisme de sécurité.

    Le canal latéral expose un chemin d'accès à une ressource qui est en dehors du mécanisme de sécurité ; cela peut être dû à une faille dans la conception du mécanisme de sécurité ou même dans la mise en œuvre de cette conception.

    Nom : sideChanel.PNG
Affichages : 2079
Taille : 23,9 Ko
    canal latéral

    Pour cette étude, les chercheurs ont examiné plus de 88 000 applications du magasin Google Play, afin de déterminer comment les données étaient transférées depuis les applications lorsque les autorisations leur étaient refusées. Les 1 325 applications qui violaient les autorisations sur Android utilisaient des solutions de contournement masquées dans leur code, qui prendrait des données personnelles provenant de sources telles que des connexions Wi-Fi et des métadonnées stockées dans des photos.

    En résumé, les contributions de ce travail incluent :

    • la conception d’un pipeline pour détecter automatiquement les vulnérabilités dans le système de permissions Android via une combinaison d'analyse dynamique et statique ;

    • la découverte que des entreprises obtenant les adresses MAC des stations de base Wifi connectées à partir du cache ARP. Ceci peut être utilisé comme substitut pour les données de localisation. Cinq applications exploitaient cette vulnérabilité et 5 autres avaient le code pertinent pour le faire ;

    • la découverte qu’Unity obtenait l'adresse MAC d’un périphérique, en utilisant les appels système. L'adresse MAC peut être utilisée pour identifier de manière unique le périphérique. 42 applications exploitant cette vulnérabilité et 12 408 applications avaient le code pertinent pour le faire ;

    • la découverte des bibliothèques tierces fournies par deux sociétés chinoises Baidu et Salmonads qui utilisaient indépendamment la carte SD en tant que canal caché, de sorte que lorsqu'une application peut lire l'IMEI du téléphone, elle le stocke pour d'autres applications qui ne peuvent pas. 159 applications avaient le potentiel d’exploiter ce canal ezsecret 13 applications le faisant.


    Remarque : l'identité internationale d'équipement mobile (IMEI) est une valeur numérique qui identifie les téléphones mobiles de manière unique. L'IMEI a de nombreuses utilisations valides et légitimes pour identifier les périphériques, y compris la détection, le blocage des téléphones volés. L’IMEI est également utile pour les services en ligne en tant que solution persistante, identifiant de périphérique pour le suivi des téléphones individuels. L'IMEI est un identificateur puissant, car il faut des efforts extraordinaires pour changer sa valeur ou même la falsifier.

    Fonctionnement des permissions sur Android

    Le système de permissions d’Android est basé sur le principe du moindre privilège. Autrement dit, une ressource ne devrait avoir que les capacités minimales dont elle a besoin pour accomplir sa tâche. Ce principe de conception standard pour la sécurité implique que si une application agit malicieusement, les dégâts seront limités. Les développeurs doivent déclarer les autorisations dont leurs applications ont besoin au préalable, et l'utilisateur a la possibilité de les examiner et de décider s'il faut installer l'application. La plateforme Android, cependant, ne juge pas si l'ensemble des autorisations demandées est tout ce qui est strictement nécessaire pour que l'application fonctionne. Les développeurs sont libres de demander plus d'autorisations que nécessaire et les utilisateurs doivent juger s’ils sont raisonnables.

    Le modèle de permission Android a deux aspects importants : obtenir le consentement de l'utilisateur avant qu'une application ne puisse accéder à des ressources protégées, puis en s'assurant que l'application ne peut pas accéder aux ressources pour lesquelles l'utilisateur n'a pas donné son consentement. Par contre, les utilisateurs ne sont pas suffisamment informés de la raison pour laquelle les applications ont besoin d’autorisations au moment de l'installation, les utilisateurs ne comprennent pas exactement quel est le but des différentes autorisations, et ils manquent suffisamment de transparence dans la façon dont les applications utiliseront finalement les permissions accordées. Le système de permissions Android a un objectif important : protéger la confidentialité des utilisateurs et les ressources système sensibles. Si un utilisateur refuse l’autorisation à une application, cette application ne doit pas être en mesure d'accéder aux données protégées par ce contrôle.

    Malheureusement, ce n'est pas toujours le cas dans la pratique.

    Source : FTC

    Et vous ?

    Avez-vous déjà refusé une permission sur votre Android ?

    Quel est votre sentiment face à ces révélations ?

    Voir aussi :

    Android : les fabricants désormais obligés de fournir des mises à jour de sécurité pendant 2 ans, suite à un accord conclu avec Google

    Etude : environ 90 % des applications Android transfèrent des données à Google, et près de 50 %, à au moins 10 tiers tels que Facebook et Twitter

    Certains fabricants des téléphones Android mentent à propos des mises à jour de sécurité, d'après des chercheurs de Security Research Lab
    Bien avec vous.

  2. #2
    Membre régulier
    Homme Profil pro
    Étudiant
    Inscrit en
    janvier 2017
    Messages
    16
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : janvier 2017
    Messages : 16
    Points : 109
    Points
    109
    Par défaut
    Merci à l'ICSI pour ce travail de recherche. Les résultats ne sont pas étonnants, il était certain que les applications tentaient de contourner les restrictions d'accès aux données.
    Par contre, il est effarant de voir à quel point Google semble désintéressé par le sujet ! Qui sait, peut-être qu'ils contournent eux-même la sécurité Androïd

  3. #3
    Membre extrêmement actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    octobre 2017
    Messages
    397
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : octobre 2017
    Messages : 397
    Points : 1 655
    Points
    1 655
    Par défaut
    Android : plus de 1 000 applications collectent nos données, malgré les autorisations refusées
    Vu le nombre d'applications disponibles, l'estimation me semble bien timide et être très loin de la réalité.

  4. #4
    Membre habitué
    Homme Profil pro
    Etudiant
    Inscrit en
    février 2010
    Messages
    112
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : France, Seine Maritime (Haute Normandie)

    Informations professionnelles :
    Activité : Etudiant

    Informations forums :
    Inscription : février 2010
    Messages : 112
    Points : 128
    Points
    128
    Par défaut
    > Par contre, il est effarant de voir à quel point Google semble désintéressé par le sujet !

    Peut être parce que google possède la plus grosse solution de tracking du monde nommée Google Analytics, installée probablement sur 99% des applications sur le play store ?

Discussions similaires

  1. Plus de 180 000 applications iOS pourraient ne pas être compatibles avec iOS 11
    Par Stéphane le calme dans le forum Développement iOS
    Réponses: 9
    Dernier message: 10/04/2018, 08h57
  2. application Android (gestion de données)
    Par drsbmm dans le forum Android
    Réponses: 2
    Dernier message: 23/03/2017, 22h23
  3. Application pour collecter des données des autres sites
    Par nes.zou dans le forum Développement Web en Java
    Réponses: 2
    Dernier message: 21/11/2013, 13h05
  4. Réponses: 6
    Dernier message: 04/05/2010, 02h48
  5. Changement d'application pour lire nos données
    Par Bes74 dans le forum MS SQL Server
    Réponses: 4
    Dernier message: 27/11/2006, 12h31

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo