faille de sécurité ou non ?
Bjr
L'idée consiste à aller lire des informations dans le téléphone sans que l'utilisateur s'en rende compte.
Pour cela, j'ai réalisé un POC très simple.
Dans un premier temps j'ai installé un fichier texte dans le repertoire download du Mobile.
Dans un deuxième temps j'ai réalisé un POC allant lire le fichier texte sans demander l'autorisation à l'utilisateur.
Code:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29
|
public void onCreate(Bundle savedInstanceState) {
super.onCreate(savedInstanceState);
setContentView(R.layout.activity_main);
File sdcard = Environment.getExternalStorageDirectory();
File fileTest = new File(sdcard,"download/test.txt");
Log.i("TEST", "Path Test = " + fileTest.getPath());
try{
//lecture du fichier
BufferedReader in = new BufferedReader(new FileReader(fileTest));
String line;
while ((line = in.readLine()) != null) {
Log.i("ISI", "ligne =" + line);
info = info + line + "\n";
}
in.close();
}
catch(Exception e){
Log.i("TEST", "err = " + e.getMessage());
}
tv = (TextView)findViewById(R.id.tvInfo);
tv.setText(info);
} |
Puis, j'ai lancé l'installation du programme sur un Mobile. Celui-ci s'est installé sans aucune permission et a été lire le fichier texte sans avertir l'utilisateur.
En d'autres termes, il n'est pas nécessaire d'avoir une permission pour scanner la SDcard interne ou externe et lire les fichiers qui s'y trouvent.
Par contre, il faut obligatoirement une permission pour écrire sur le SDcard 8-)
QUESTION : est-ce une faille de sécurité ?