Android et iOS : attention à vos photos

Le par  |  2 commentaire(s) Source : Bits
Android sécurité

Apple et Google sont encore une fois montrés du doigt pour des applications volant les données personnelles de ses utilisateurs.

C'est le New York Times, par l'intermédiaire de son blog Bits, qui met une fois de plus le doigt sur un paramètre gênant d'une application iOS. Le journal américain s'est d'abord intéressé à l'interface Apple, découvrant que certaines applications, se référant aux données de géolocalisation, pouvaient récupérer les photos, voire les vidéos de l'utilisateur.

Mais l'OS de Apple n'est pas le seul concerné puisque la pratique est aussi présente chez Google et son Android. A la différence près qu'il ne s'agit plus pour les applications d'accéder à la géolocalisation, mais tout simplement à Internet. Et de récupérer au passage tout le contenu de la photo et vidéothèque.

Visiblement, il n'existe à l'heure actuelle aucune restriction à l'accès aux photos. Pour mesurer l'étendue de cette faille, un développeur d'applications Android a mis au point un rapide programme banal, demandant juste à l'utilisateur de pouvoir accéder à Internet. Une fois cet accès accepté et une fois l'application lancée, cette dernière s'est rapidement dirigée vers la photothèque pour récupérer la dernière photo, l'envoyant sur un site de partage public, à l'insu de l'utilisateur.

La pratique semble être naturelle et facile et encore une fois, il faut l'intervention de témoins de ce genre de faille pour que les premiers concernés admettent le problème et promettent d'apporter du changement...

Android sécuritéBits précise qu'il ne s'agit pas d'applications officielles, et ne sait donc pas si Apple ou Google pratiquent sciemment la technique. En revanche, Google se montre plus réactif et prévoit de se pencher sur la question. Un correctif devrait être mis en place pour qu'une demande d'autorisation soit soumise à l'utilisateur. Du côté d'Apple aussi, il semblerait qu'un correctif soit en cours, mais rien n'a été annoncé de manière officielle.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #918671
Mauvaise foi ou amateurisme de Apple et google?

Autant je pencherais vers la première solution, autant il semble que dans la course effrénée que ces deux géants se livrent, la sécurité des données des clients ait été quelque peu négligée.

Avoir un smartphone aujourd’hui, c'est comme avoir des rapports non protégés avec un(e) inconnu(e)...tu sais pas ce que tu risques... mais seulement que tu te prépares des sueurs froides en attendant le résultat des analyses que l'autre n'a jamais faites.

Le #918731
buggrodgers ni l'un ni l'autre pour Android.

Comme l'article de bits le relève, il était question à l'époque de proposer un mécanisme d'accès aux photos de la sdcard sans avoir à se palucher le parcours de l'arborescence de la sdcard. Il est fort probable que très prochainement l’accès aux photos via ContentResolver soit conditionné à une permission comme les SMS. Facilité historique maintenue par soucis de retro-compatiblité. Bien entendu c'est inquiétant et ça n'aurait jamais du exister.

Cette "faille" Android est connue de tout programmeur ayant touché de près ou de loin a ContentResolver. Voila de quoi alimenter de prochains articles de "failles" triviales (sans être root):
* on peut démarrer une application automatiquement sans la permission boot.
* on peut envoyer des données sur internet sans la permission internet.
* on peut obtenir la position approximative du terminal sans autorisation de positionnement.
* on peut faire une application ( activité ) sans icône dans le launcher.
* ces 4 points sont connus, archi connus, dispo dans des PDF de toutes les langues sur internet.

Donc, il est à la portée du premier crétin équipé d'Eclipse + ADT de faire un mouchard qui à chaque redémarrage récupère la position, et la transmet par internet à intervalle régulier. Voila, et vu que ça n'utilise aucune fonctionnalité extraordinaire je rigole d'avance d'une détection par Google. Je n'irai pas jusqu’à mettre ma PoC sur le market (dès fois que ... )

Vu la trivialité je pense que ça doit être transposable sous window mobile et symbian (rip), je ne dev pas pour ces environnements.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]