Discussion :

[Gordon Fowler]

Mise à jour du 24/06/10


« Nous désactivons toute application qui s'avèrerait malicieuse pour l'utilisateur »
Répond Google France, suite à l'étude de SMobile Systems sur l'Android Market


Google n'a pas tardé à réagir à l'étude de S-Mobiles qui accusait l'Android Market d'héberger de très nombreuses applications qualifiées de « suspectes » (lire ci-avant).

« Nous souhaiterions clarifier le point de la sécurité des applications proposées dans l'Android Market », nous a demandé Google France par mail.

« Ce rapport suggère que les utilisateurs d'Android ne contrôlent pas la sécurité des applications installées sur leur téléphone Android. Or non seulement chaque application Android requière pour son installation l'accord de l'utilisateur pour accéder à des informations sensibles, mais en plus les développeurs du Market sont aussi soumis à des vérifications sur la facturation de leurs applications afin de confirmer leur identité ».

Voilà qui rassurera les utilisateurs du petit robot vert. D'autant plus que Google France assure également que « nous désactivons toute application qui s'avèrerait malicieuse pour l'utilisateur ».

Mais dans « avérerait », il y a la notion de réaction, et pas de démarche pro-active comme sur l'AppStore ou le futur MarketPlace de Windows Phone 7.

Un choix qui peut parfaitement se justifier (neutralité de Google, rapidité et facilité de soumission, etc.).

Mais un choix qui pose la question de savoir comment ces applications malicieuses sont repérées.

Puisqu'il ne pratique pas de tests de sécurité au moment où le code est soumis à l'Android Market, comment Google sépare-t-il le bon grain de l'ivraie ?

« Les applications malicieuses sont le plus souvent signalées par la communauté d'utilisateurs », admet son porte parole. L'application est alors testée sur le champ et, le cas échéant, retirée.

« Mais nous surveillons également étroitement la plateforme pour chasser toute application frauduleuse ». Cette tâche incombe aux équipes internes en charge du projet Android et de son MarketPlace.

Modération a posteriori contre sélection a priori, à chacun de choisir sa méthode préférée.


Source : Mails de Google France et la rédaction


Et vous ?

Quelle méthode préférez-vous : la modération après validation ou la sélection au moment de la proposition de l'appli ?


MAJ de Gordon Fowler



Android Market : 40 % des applications seraient suspectes
Et agiraient comme des spywares, d'après un rapport dont on peut questionner l'indépendance


Apple est critiqué par de nombreux développeurs pour sa politique de validation très stricte des applications pour iPhone, Google a choisi pour sa part une attitude très différente. Les applications de l'Android Market pour son OS mobile ne sont pas filtrées, mais simplement vérifiées.

Il se pourrait bien que, malgré les critiques, ce soit Apple qui ait fait le bon choix.

C'est en tout cas ce que semble laisser entendre un rapport de SMobile Systems, une société spécialisée dans la sécurité des smartphones. Son étude montre en effet qu'une application sur cinq référencée dans l'Android Market donnerait « la permission d'accéder à des données privées ou sensibles qu'un attaquant pourrait utiliser à des fins malicieuses ».

Le « pourrait » est important .Mais le rapport continue. Pire, d'après lui, 5% de la totalité des applications sous Android permettraient de passer des appels sans que le possesseur du smartphone ne le sache. Et 3 % pourraient transformer le téléphone en machine à spams en envoyant des SMS à l'insu de l'utilisateur.

Au total se serait en fait 20.000 applications qui seraient « suspectes » (sur les 48.000 environ de l'Android MarketPlace, soit 41 %).

D'après Dan Hoffman, Responsable de la Technologie chez SMobile Systems, ces applications utilisent la même méthodologie que les spywares en observant les contenus des mails, le carnet d'adresse, la localisation... et même les appels.

La conclusion de cette étude montre qu'une application qui vient d'une galerie connue n'est pas nécessairement sécurisée. Bien au contraire.

Une conclusion sensée. Le manque d'informations sur l'origine des applications est effectivement un problème pour les Marketplace ouverts comme celui de Google. Les développeurs indépendants n'utilisent pas toujours leurs vrais noms (ce qui est compréhensible) et les liens vers les éditeurs ne sont pas toujours présents ou pertinents pour se prémunir de ces menaces.

Pour SMobile Systems, une des solutions possibles est d'utiliser son anti-spyware. Bien sûr.

Alors, étude objective ou nouveau FUD (Fear, Uncertain, Doubt) pour placer sa marchandise ?

Certainement un peu des deux.


Source : Le rapport « SMobile Security Analysis of Over 48,000 Android Market Applications »


Lire aussi :

L'Android Market passe la barre des 50 000 applis, l'AppStore atteindrait les 400 000 à la fin de l'année
Steve Jobs dénigre Android en l'accusant d'être un supermarché de la pornographie pour défendre le filtrage contesté des applications de l'AppStore
Android continue à progresser face à l'iPhone, malgré l'Android Market ?

Les rubriques (actu, forums, tutos) de Développez :

Android
Mobile
Sécurité
Systèmes
Développement Web

D'après vous ?

Étude objective ou FUD ?

[Paul TOTH]

c'est le cas de 100% des logiciels sur PC...ça dérange quelqu'un ?

[dtcSearch]

Après lecture, j'en conclus que 59% des applications sur Market ne demande aucunes permissions.

Très bonne manière de faire des rapports, un stagiaire consciencieux a dû être s'y investir au moins 3 mois avant de finir sa formation de développeur.

Mais en tout cas, ça en dit long sur les Market en général, ça fait beaucoup d'application du genre Vuvuzela...


ps: le rapport parle d'un spyware qui s'appellerai: SMS Message Spy Lite et permet de forwarder les SMS sur un autre téléphone (en gros, mise sur écoute), une application pour femme jalouse. Il est très Spy le spyware...

[FloMo]

Soit c'est iPhone avec Apple qui agirait en Big Brothers malgré les contrats utilisateurs qu'ils signent afin de préserver la vie privée , soit c'est Android qui est un nid à spywares malgré son affichage libre et ouvert à tous.
En gros : vous êtes dans la matrice !

[Joce]

Je ne pense pas que tous les logiciels agissent comme des spywares, par contre je rejoins le fait que parfois les applications feraient mieux d'être plus étudier avant publication car certains bouffent les performances de l'OS : j'ai fait un hard reset et réinstaller quelques logiciels (pas forcément les mêmes que ceux que j'avais) et bizarrement je constate que j'ai carrément moins de latence qu'auparavant.

[benzoben]

Bientôt il faudra administrer son téléphone portable comme on administre son PC : antivirus, anti spyware, firewall, defragmentation, mise à jour ...
D'ailleurs, y a t-il beaucoup de gens qui font des sauvegardes de leurs données?

[dams78]

Ils font comment Apple pour vérifier une application?

[tenebriox]

Ils font comment Apple pour vérifier une application?

[lequebecois79]

comment vendre son produit en racontant n'importe quoi...

dans chaque application android, on doit spécifier à quoi on va accéder au système... c'est diviser en genre de groupe...

d'ailleurs quand tu installes une application il est clairement dit à ce que l'application a accès.

Après se baser sur ces groupes sans avoir accès au code... c'est n'importe quoi.

Est-ce que apple a accès aux sources des logiciel qu'il valide?
Alors aucune certitude de ce que fait le programme...

C'est que de la propagande pour essayer de vendre ses outils, rien de plus.

D'ailleurs on ne peut être certain de ce que fait le logiciel sans avoir les sources.

[LeSmurf]

d'ailleurs on ne peut être certain de ce que fait le logiciel sans avoir les sources

C'est très juste, les applications open-source sont moins soupçonnables mais comme l'écrit quelqu'un plus haut :

c'est le cas de 100% des logiciels sur PC...ça dérange quelqu'un ?

Quand je pose cette question, l'intéressé me répond généralement qu'il n'a rien à cacher, que tout le monde fait ça, qu'il s'en fiche, etc etc. La culture de la confiance envers ses applications n'est pas ancrée dans les mœurs, il faudrait sensibiliser d'avantage.

[umeboshi]

Étude objective ou FUD ?

un peu des deux, forcément, ils ont un intérêt financier derrière tout ça, mais je ne pense pas non plus qu'ils s'amuseraient à inventer des chiffres au risque d'obtenir l'effet inverse. Ils peuvent exagérer, mais je pense qu'ils mettent le doigt sur un problème bien existant

une appli iphone est systématiquement vérifiée par Apple avant d'être sur l'app store. Ce qui n'est pas le cas des applis Android.
bien sur avec l'open source on peut vérifier le code soit-même, mais vous oubliez un détail important : les utilisateurs, eux ne vont pas se faire chier à décortiquer chaque application, la plupart du temps ils n'en ont pas la compétence.
En plus, si le code est lisible, ça devient facile d'en faire une version modifiée, de faire en sorte que ce soit transparent à l'utilisation, pour y rajouter du code malicieux...
j'étais tenté par android, mais de plus en plus je me dis que c'est juste un téléphone pour céder aux caprices des geeks

[DranDane]

On est vraiment en train de débattre de cette news là... sur developpez.com ? on a pas mieux à faire ?

[umeboshi]

On est vraiment en train de débattre de cette news là... sur developpez.com ? on a pas mieux à faire ?

c'est vrai, aucun rapport avec le dev... et toi ton commentaire est tellement plus utile.

[Paul TOTH]

C'est très juste, les applications open-source sont moins soupçonnables mais comme l'écrit quelqu'un plus haut :

Quand je pose cette question, l'intéressé me répond généralement qu'il n'a rien à cacher, que tout le monde fait ça, qu'il s'en fiche, etc etc. La culture de la confiance envers ses applications n'est pas ancrée dans les mœurs, il faudrait sensibiliser d'avantage.

Opensource ou pas, ce n'est pas vraiment le problème.

Je suis ravis que le PC ne soit pas bridé, c'est une machine sur laquelle je fais exactement ce que je veux...j'aurais même tendance à pester contre cette nouvelle pratique du net qui interdit de consulter certains sites qui sont catégorisés comme non convenables.

Maintenant, je suis un utilisateur averti, je n'ai jamais eu d'antivirus sur mon ordinateur personnel et les 2 ou 3 fois ou j'ai chopé un virus en 20 ans c'était lié à l'usage d'une source dont je savais que l'origine était douteuse (notamment la clé USB de ma femme qui traine sur un peu tous les PC ).

Ensuite c'est une question d'éducation, on ne clique pas sur "Love Letter for You" dans un mail, on ne télécharge pas un KeyGen.exe sur warez.com mais plutôt un logiciel bien côté sur telecharger.com ou autre...c'est pareil pour les mobiles, il suffit de ne pas se jeter sur la dernière nouveauté et laisser les utilisateurs expérimentés tester le produit et le risque est alors quasi nul opensource ou pas.

Ceci dit je n'ai ni iPhone ni Androïd phone...j'ai un GHT G3 à 0€ avec mes points de fidelité, et quelle bonne surprise, il suffit de le brancher avec un câble USB standard pour déposer des .JAR dans le répertoire Java afin de tester dessus les MIDlet aussi peu sécurisées que je veux ! D'ailleurs quand j'aurais un peu de temps devant moi, j'ai là une machine parfaite pour tester MIDletPascal sans débourser un centime.

[LeSmurf]

ules utilisateurs, eux ne vont pas se faire chier à décortiquer chaque application, la plupart du temps ils n'en ont pas la compétence.

Même si les utilisateurs n'ont généralement pas les compétences pour comprendre au code, j'ai remarqué que ce code est souvent accédé pour diverses raisons : curiosité, débuggage, réutilisation, fork... A moins que tout le monde fasse partie d'un vaste complot et taise les spywares découverts, ça offre tout de même un niveau de confiance supérieur à celui d'un code fermé.

En plus, si le code est lisible, ça devient facile d'en faire une version modifiée, de faire en sorte que ce soit transparent à l'utilisation, pour y rajouter du code malicieux...

En général n'importe qui ne peut pas commiter du code dans un projet opensource. Il faut proposer un patch ou négocier un accès, ce n'est pas ouvert au premier venu et les modifications sont tracées grâce aux outils de versionning.

On peut tout de même récupérer le code et proposer sa version modifiée. Se pose alors la très bonne question du fournisseur de l'application. Le cas se produit justement avec firefox.fr qui propose une version modifiée de firefox et installe des composants non désirés (un moteur de recherche, entre autres choses). L'utilisateur doit prendre garde au site sur lequel il télécharge son application pour ne pas se faire piéger. le risque est plus limité en passant par le site de l'éditeur ou par un mécanisme des dépôts utilisés dans le monde BSD ou Linux car l'authenticité des sources peut être certifiées par une clé..

Opensource ou pas, ce n'est pas vraiment le problème.

En matière de confiance, si. Je ne vois pas comment accorder la même confiance à un code fermé et à un code visible.

[DranDane]

c'est vrai, aucun rapport avec le dev... et toi ton commentaire est tellement plus utile.

Non ça n'a rien à voir avec le Dev. Cette news c'est du marketing ou de la désinformation. Comme dit plus haut 100% des applications PC fonctionnent comme ça depuis la nuit de temps. Depuis quand le modèle iPhone qui oblige à passer par son market est une référence ? Pour une entreprise pro qui cherche à créer des applications pro destinées qu'à son personnel l'iPhone n'est même pas une option envisageable. A quoi bon continuer à alimenter et alimenter tout ces débats qui n'ont rien, mais alors rien à voir avec le développement.

Une news qui me parle de sécurité me concerne mais une news qui fait encore un xème comparaison entre iPhone vs Android vs Windows Phone c'est de la pub, pas du journalisme. En plus dans ce cas si c'est même pas une news. EVIDEMMENT que Android n'est pas sécurisé. On le sait tous. Mais c'est ce qui fait aussi qu'il est 100% programmable et qu'il est intéressant. Comme un PC. Je me pose surtout des questions sur l'utilité de faire un rapport sur ce sujet.

[Paul TOTH]

...
En matière de confiance, si. Je ne vois pas comment accorder la même confiance à un code fermé et à un code visible.

il est plus simple d'observer les interactions entre une application et le système d'exploitation (Accès registre, accès fichier, API utilisée, connexion réseau...) que de se palucher quelques Mo de code source à la recherche d'un code malicieux

il n'y a qu'à voir le nombre de société majeures du marché qui sont mises en cause pour collecte d'information à l'insu de l'utilisateur ... "mais pour leur bien" évidemment. Pas besoin d'avoir les sources pour voir ce qui transite.

[umeboshi]

Non ça n'a rien à voir avec le Dev. Cette news c'est du marketing ou de la désinformation. Comme dit plus haut 100% des applications PC fonctionnent comme ça depuis la nuit de temps. Depuis quand le modèle iPhone qui oblige à passer par son market est une référence ? Pour une entreprise pro qui cherche à créer des applications pro destinée qu'à son personnel l'iPhone n'est même pas une option envisageable. A quoi bon continuer à alimenter et alimenter tout ces débats qui n'ont rien, mais alors rien à voir avec le développement.

Une news qui me parle de sécurité me concerne mais une news qui fait encore un xème comparaison entre iPhone vs Android vs Windows Phone c'est de la pub, pas du journalisme. en plus dans ce cas si c'est même pas une news. EVIDEMMENT que Android n'est pas sécurisé. On le sait tous. Mais c'est ce qui fait aussi qu'il est 100% programmable et qu'il est intéressant. Comme un PC. je me pose surtout des questions sur l'utilité de faire un rapport sur ce sujet.

C'est bien ce que je dis, c'est un téléphone pour geek capricieux
Si ça t'intéresse pas vient pas critiquer ceux qui ont un avis sur la question, ça t'étonne que des gens aient des intérêts différents des tiens? pose toi des questions sur toi-même avant de faire la morale.
ça veut la liberté des applications, mais ça se fout de la liberté d'expression : pathétique...

[LeSmurf]

il est plus simple d'observer les interactions entre une application et le système d'exploitation (Accès registre, accès fichier, API utilisée, connexion réseau...) que de se palucher quelques Mo de code source à la recherche d'un code malicieux

Il n'y a qu'à voir le nombre de société majeure du marché qui sont mises en cause pour collecter d'information à l'insu de l'utilisateur ... "mais pour leur bien" évidemment. Pas besoin d'avoir les sources pour voir ce qui transite.

Pas toujours, il y a justement des cas suspicieux où les transferts sont chiffrés. Je pense à Skype par le passé, je ne sais pas si c'est toujours le cas. Beaucoup d'utilisateurs se sont demandés ce qui transitait, ils auraient eu la réponse si le code de skype était ouvert. D'ailleurs même si Skype était innocent (là encore je ne sais pas si c'est le cas ou non), ils devenaient du même coup soupçonnables.

Code fermé : un cas suspicieux peut le rester longtemps
Code ouvert : on regarde et on est fixé

C'est quand même un petit mieux ^^

[Paul TOTH]

Pas toujours, il y a justement des cas suspicieux où les transferts sont chiffrés. Je pense à Skype par le passé, je ne sais pas si c'est toujours le cas. Beaucoup d'utilisateurs se sont demandés ce qui transitait, ils auraient eu la réponse si le code de skype était ouvert. D'ailleurs même si Skype était innocent (là encore je ne sais pas si c'est le cas ou non), ils devenaient du même coup soupçonnables.

Code fermé : un cas suspicieux peut le rester longtemps
Code ouvert : on regarde et on est fixé

C'est quand même un petit mieux ^^

oui...et qui utilise SRWare Iron au lieu de Chrome ?