Bienvenue sur Smartphone France Android Edition
Actuellement, 118 visiteurs en ligne
Vous utilisez un bloqueur de publicités ? Félicitations :)
Actualités du monde Android

Retour au sommaire du site

  Android Market sur le web : Une catastrophe sécuritaire ?
 Publié le 24/02/2011 à 17:00 - 5 commentaires ...

Google vient de procéder au lancement de la version web de l'Android Market. Si le lancement de cette nouvelle plateforme est déjà plébiscité par la presse spécialisée, en revanche en matière de sécurité, son arrivée fait froid dans le dos : il est désormais possible, via une interface web de pousser une application sur son téléphone. Et ce, sans aucune interaction avec le téléphone. L'application demande toujours ses autorisations d'accès, mais ne le fait plus que sur le web.

Vous me direz, qu'est-ce que ça change, puisqu'il est toujours nécessaire d'autoriser l'application avant son installation ? En fait cela change tout, puisqu'il est désormais possible d'utiliser des comptes Gmail compromis (puisque compte Gmail = compte Google = compte Android Market = compte couplé avec le téléphone) pour pousser sur le téléphone de son propriétaire n'importe quelle application disponible sur l'Android Market, sans son consentement. Et comme tout le processus d'installation est déporté sur le web, le propriétaire du téléphone ne verra rien, ni demande d'autorisation à accéder aux ressources du téléphone, ni notification pendant l'installation de l'application. Sauf s'il tient son téléphone en main à ce moment précis, il pourra voir en haut à gauche de son écran un mini-icône de quelques pixels de large signalant le téléchargement en cours d'une application -- et a posteriori, il pourra voir une nouvelle application installée, mais le mal aura déjà été fait. Tout l'intérêt étant alors de pousser silencieusement sur le téléphone une application malveillante, un logiciel espion, un application qui envoie des SMS surtaxés, etc. Or, l'Android Market regorge déjà d'applications de surveillance ambivalentes, dont l'usage peut être facilement détourné pour en faire un vrai malware (rappelons que toute application de surveillance à l'insu de la personne surveillée est illégale, malgré les discours qui tentent de légitimer de tels usages, comme la surveillance de ses enfants ou de son conjoint).

Il s'agit bel et bien d'une dégradation importante de la sécurité d'Android : tout le modèle de sécurité des smartphones tenait justement sur le caractère indispensable du consentement explicite de l'utilisateur avant d'installer une application et de lui donner les autorisations demandées ; mais désormais, la sécurité d'un téléphone Android est indexée sur le niveau de sécurité du PC de son propriétaire, qui est peut-être déjà infesté par un virus comme c'est déjà le cas pour plusieurs millions d'internautes français. De plus, les mots de passe d'accès à des comptes Google font l'objet depuis longtemps d'une économie souterraine, des criminels se revendant au marché noir des comptes piratés volés par phishing ou par pharming. Il est probable que la cote de ces comptes grimpe rapidement suite à l'apparition de cette nouvelle fonctionnalité...

Source originale de l'article : ZDNet.fr ...


 24/02/2011 17:46:23 - gpmoo7
"'il est désormais possible d'utiliser des comptes Gmail compromis" donc le problème c'est plus les comptes Gmail compromis, non ?
Personnellement, je pense que la compromission de mon compte Google est beaucoup plus dangereuse que le simple fait de pouvoir se faire installer des applications à distance.
 24/02/2011 19:59:39 - ChrOnOs83
Pour se prémunir des installations frauduleuse, il suffit d'installer AppNotifier sur son téléphone.
https://market.android.com/details?id=fr.chronosweb.android.appnotifier&feature=search_result
 24/02/2011 22:36:38 - aztazt
Oui, la sécurité d'un système n'étant au plus égale qu'à son maillon le plus faible.
Quelqu'un ayant déjà son compte Google compromis constitue à lui seul le maillon le plus faible.
La sécurité du système ne s'en trouve pas modifiée selon moi.
Comme bien souvent, le maillon le plus faible est l'ICE (Interface Chaise Ecran).

Après, c'est clair que ce n'est pas bien difficile de trouver des comptes gmail (entre autres...), faites-vous plaisir :
http://www.google.fr/search?sourceid=chrome&ie=UTF-8&q=site%3Apastebin.com+host+url+password

Ces comptes n'ont plus beaucoup de valeur (tout comme vos numéros de cartes bleues qui se revendent souvent moins d'un dollar) aujourd'hui...
 01/03/2011 11:07:13 - zewolf
Moi ca me fait bien marrer lorsque je lis: il suffit d'installer truc machin chose.
La plupart des gens sont des ignares en informatique. C'est donc aux différents acteurs informatique de prendre les choses en mains pour eux, avant qu'ils ne soient obligés de chercher sur internet le truc machin bidule qui à forte chance au passage de profiter de leur ignorance pour soit les arnaquer, soit les fragiliser encore un peu plus au niveau sécurité.
 01/03/2011 15:04:17 - ChrOnOs83
C'est sûr qu'il y a beaucoup à améliorer mais en attendant le bouche à oreille et l'aide d'un "mec qui s'y connait" peut combler les lacunes d'un système se voulant ouvert et surtout bien moins pécuniairement orienté qu'un autres... Sur un autres système "plus facile d'accès" les utilisateurs devront utiliser un service coûtant les yeux de la tête pour retrouver leur joujou malencontreusement perdu ou volé; avec Android, ils devront probablement prendre l'initiative de chercher, se documenter, comparer pour finalement choisir quelle application ils souhaitent utiliser. Jusqu'au jour ou il y aura assez de "mec qui s'y connait", de solutions de communication et de partenariat entre éditeurs et constructeurs / opérateurs.

Dorénavant pour publier des commentaires il faut posséder un compte sur le Forum du site et s'authentifier

Créer un compte sur le forum du site

S'authentifier sur le site avec son compte personnel




Retour à la page principale du site