MAJ : le terme virus a été remplacé pour ne pas faire peur à la population. En effet, le virus, qui se propage d’ordinateur en ordinateur avec au passage, une récupération ou suppression des données de l’utilisateur, n’a aujourd’hui aucun sens sur Android, puisqu’il n’existe aucune application de ce genre (pour le moment). Le terme Virus est très journalistique pour « faire peur » aux utilisateurs et vendre éventuellement des anti-virus, qui aujourd’hui n’ont aucun sens sur Android.
Durant ce mois d’août, on a pu voir débarquer deux applications malveillantes sur notre système préféré : l’une envoyait des SMS à un numéro surtaxé alors que l’application était censée être un lecteur multimédia, l’autre (découvert cette semaine) permettait de vous suivre à la trace via votre positionnement GPS (on parlera plus ici de mouchard que de virus) alors qu’il semblait être un simple jeu du serpent (snake).
Android, comme tous les systèmes informatiques, suscite la convoitise de petits malins qui n’ont d’autres amusements que d’ennuyer les utilisateurs.
Aujourd’hui, ces applications ne sont pas (encore) aussi violentes que celles que l’on peut trouver sur Windows (c’est un simple exemple hein !! je ne veux pas ici relancer la guerre des OS), n’empêche que, cela montre une faiblesse d’Android et de son Android Market. L’ouverture du système ainsi que la possibilité de publier sur l’Android Market toutes sortes d’applications, sans la moindre vérification, amène à ce genre de dérive, sans compter les applications non fonctionnelles.
Plusieurs personnes nous ont déjà sollicités sur le sujet à savoir : « La non vérification des publications n’est-elle pas la voie ouverte aux applications malveillantes sur l’Android Market ? « . Je réponds toujours que, comme tout système informatique, il y aura des virus, spyware ou autres et que ce type de problème n’est pas propre à Android.
Aujourd’hui, lorsque vous souhaitez une application il vous est toujours affiché un écran indiquant les permissions requises par celle-ci : ne passez pas cet écran à la légère, sous prétexte qu’il ne sert à rien ! Au contraire, c’est là que vous pouvez débusquer les applications à problème.
En bas de l’écran, il vous sera indiqué que l’application a besoin d’accéder à Internet, à vos contacts ou bien encore d’utiliser l’envoi de SMS. Si l’application que vous installez est un jeu et qu’il est indiqué que celui-ci utilise l’envoi de SMS, il peut être opportun de réfléchir à la nécessité de cette permission et de ce fait refuser de l’installer, afin d’éviter tout problème. Pensez également à appuyez sur « Tout afficher » afin de découvrir toutes les permissions (par défaut, seules deux permissions sont affichées).
Développant des applications, je me demandais (à titre de réflexion personnelle) s’il ne serait pas judicieux pour Android, de générer les permissions de manière automatique en fonction du code et des besoins requis par ce dernier, lorsque le développeur compile son application et ce de manière transparente pour lui éviter de modifier les permissions.
Enfin, comme sur Internet, méfiez-vous des applications qui vous demandent de saisir vos numéros de carte bancaire. Aujourd’hui, mieux vaut éviter de saisir ce type d’information sur une application mobile (excepté peut être si vous être sur un site internet marchand via le navigateur installé par défaut sur votre androphone).
Alors respectez ces deux règles :
- vérifiez toujours les permissions requises par une application avant de valider son installation
- n’indiquez jamais les informations de votre carte bancaire au sein d’une application mobile
- soyez aussi vigilant que ce que vous l’êtes avec Internet
Plus de détails sur l'utilité d'un anti-virus sous Android : http://www.monfolio100.fr/index.php?option=com_content&view=article&id=155:doit-on-utiliser-un-anti-virus-sous-android-&catid=8:trucs-a-astuces&Itemid=8
:-\ Comme je le disais dans une autre note : "il vous est toujours affiché un écran indiquant les permissions requises", OK, sauf que beaucoup d'applis demandent bien plus qu'elles ne devraient, ce qui limite drastiquement nos choix. :-(
Un firewall, bonne idée. Mais il ne faut pas que ça empêche les applis de tourner : nombre de celles que j'ai installées refusent de démarrer hors connexion internet, même si elles ne nécessitent en théorie aucune données internet pour fonctionner !
Justement, je me demandais comment étaient déclarées et validées les permissions, merci.
Non, un ver(worm) est un virus qui s'auto-propage. Un virus ne s'auto-propage pas forcément.
On est d'accord. ;)
TAIN j'ai cliqué sur annuler! Je refais : Moi pour ma part, je défends le système Android donc la partie logicielle. Je ne suis pas forcément enthousiaste de la façon dont les constructeurs l'utilisent. Pour l'instant ce n'est pas le cas mais à terme, un constructeur peut décider de se passer de l'Android Market en l'enlevant ce sa ROM et de mettre son propre market. C'est ca qui est très fort, tout est envisageable avec Android. Maintenant, il faut qu'un acteur mette en œuvre l'idée. Le problème avec Apple c'est que si le hardware te plait mais pas le soft ou inversement ben t'es bloqué. Si tout te vas, ca reste un bon produit mais sinon c'est frustrant. "Ici beaucoup passent leur temps à se faire croire que les iPhone auraient de carences en terme de puissance (tant sur le plan matériel que logiciel). C’est complètement faux, et je ne te vois pourtant jamais réagir à ces commentaires là." Ca fait longtemps que j'ai pas lu de gros troll quand même! Mais sinon je les remets à leur place :P
oui mais tout logiciel de protection reste intrusif ! mais j'ai donnée une idée, pas un logiciel final ! Y a certainement des fonctionnalité qui permettraient a l'utilisateur non-geek (et en dessous ^^) d'être protégé de manière transparente. Il existe plusieurs paramétrages auto de sécurité dans des application comme IE ou Firefox. Ce qui serait bien c'est un controle directement à la source de l'android market à qui on défini pour quelles utilisation cette appli sert, la teste et la met sur le market si les droits dessus corresponde bien à son utilisation. Enfin pour plus de sécurité il est clair que c'est du coté de google qui faut se tourner qui est trop tolérant sur les application distribuées.
Je parle d'un point de vue utilisateur. Je te rappelle que c'est l'unicité de l'App Store qui en a fait le succès. Dès lors qu'il faut se poser des questions de versioning, de compatibilité entre packages, d'applications qui se trouvent de des serveurs et pas sur d'autres, de gestion manuelle d'autorisations d'accès, etc... tu peux me dire ce qu'on aura fait de la simplicité ? Je n'ai rien contre le fonctionnement des stores sur Android. J'ai juste contre l'illusion (ou la tromperie) en voulant faire croire qu'un tel produit reste simple. Ici beaucoup passent leur temps à se faire croire que les iPhone auraient de carences en terme de puissance (tant sur le plan matériel que logiciel). C'est complètement faux, et je ne te vois pourtant jamais réagir à ces commentaires là. La seule chose qui est sûre en revanche, c'est qu'une gestion manuelle des autorisations de chaque application une par une, librairies par librairies, accès réseaux par accès réseaux, sachant qu'en plus une application est quelque chose qui évolue avec le temps et que donc toutes ces données sont amenées à être modifiées à chaque mises à jours, ce serait rendre l'utilisation d'un téléphone particulièrement ... indigeste. Faudra pas s'étonner après si des gens vous disent qu'ils préfèrent l'iPhone, l'iPod et l'iPad, qui se partagent pour l'instant le marché d'iOS (apparemment de nouveaux produits seraient en cours de préparation) et faudra pas non plus attribuer ça à leur incompétence ou encore à leur capacité à "gber du marketing". Non, juste qu'ils ont autre chose à faire de leur vie que de configurer un téléphone.
He oui, la liberté a un prix. Si tu n'es pas prête à payer ce prix, tu peux toujours de laisser contrôler... Tu es libre ;)
Je sais pas qui parle dans l'oreillette mais il dit des conneries :P Ce dont je parle existe déjà : - Sony Ericsson bossent sur leur propre market qui sera intégré à leurs mobiles - Archos a le sien (mais il n'est pas filtré... donc une fois encore Archos... - Bouygues Tel a le sien intégré dans ses mobiles - Orange a le sien intégré aussi Après c'est aux Opérateurs et Constructeurs de se prendre par la main et de faire leur propre market!
Bah alors il n'y a pas de problème. Cool ! ;) (... ah, on me dit dans l'oreillette que c'est pas aussi simple... dommage :( )
Hooo ca faisait longtemps que j'avais pas lu de tes commentaires. J'aime Toujours autant. Pour ton com : L'avantage avec Android c'est que tu peux avoir l'assistanat de Apple par un market alternatif mis par défaut par le constructeur est filtré + géré par lui même, et avoir la liberté de l'Android Market de base. Au final tout le monde est content :)
... Et bienvenu dans le joyeux monde des geeks (ceux qui aiment dire qu'eux seuls savent et qui se plaisent à haïr dans le texte "ceux qui n'y connaissent rien et qui son lavé du cerveau par le marketing"), où utiliser un smartphone va redevenir aussi compliqué qu'utiliser un PC, comme c'était le cas avant l'arrivée de l'iPhone ! Elle est là la révolution Android ? Pour éviter à tous prix des concessions qui ont pour but de simplifier la vie (et qui y parviennent manifestement), on retourne à la case emmerdements à la Windows ou il va falloir configurer de dizaines de trucs et confirmer un nombre incalculable de boites de dialogues tous les jours ? « J'ai toujours rêvé d'un ordinateur qui soit aussi simple à utiliser qu'un téléphone. Mon rêve s'est réalisé : je n'arrive plus à utiliser mon téléphone ! » - Bjarne Stroustrup -
Je viens de voir cette demande pour afficher la licence dans le market : http://code.google.com/p/android/issues/detail?id=3746 N’hésitez pas à voter pour (il suffit de cliquer sur la petite étoile) !
Ca c'est clair! Ou encore mieux, si l'application utilise des librairies externes qui ont besoin de droits particuliers ben que les permissions soient classées par source de demande!
C'est qu'une permission "Régie publicitaire" serait la bien venue :)
@alocaly : voilà une excellente idée également Le problème de fond, dans toutes les situations, c'est vraiment que les permissions ne sont pas replacées dans leur contexte, et ne sont donc absolument d'aucune utilité au moment où elles sont demandées à l'utilisateur (à l'installation, complètement hors contexte), ce qui fait qu'il n'a aucun moyen de juger de leur raison d'être, et qu'il va finir naturellement par ignorer cet écran.
Il y a quand-même des permissions particulièrement problématiques : composer un numéro, envoyer un SMS, accéder à Internet... Tout ça c'est bien gentil, mais ces permissions n'ont pas de sens si elles ne sont pas accompagnées de leurs cibles ! Une application qui accède à "Tout internet" n'est pas la même qu'une application qui accède à "api.monsite.com", et c'est ça le vrai problème dans la gestion des permissions. Aujourd'hui, toutes les applications avec pub ont besoin d'accéder à "tout internet", résultat elles peuvent aussi envoyer en arrière-plan des données sur "repaire-de-hackerz.ru" sans qu'on soit averti en amont. C'est sur le paramètrage de certaines permissions à "cibles" que Google devrait travailler pour améliorer ça je pense.
le temp que google reglera pas leur open appli sans verifier ce qui y traine sa restera de la merde... le market et devenu une poubelle anbulante renpli de chose mal fini et inutile... le nombre en fait fantasmé plus d'un mais quant on regarde la qualité j'ai envie de rigoler...
Voire même un Market d'applications open-source ?
L'idée n'est pas idiote, mais je pense que c'est trop intrusif. L'utilisateur (non-geek) n'a sûrement pas envie d'être dérangé par un système de sécurité pendant qu'il utilise son application (cf. Windows Vista et ses popups de contrôle utilisateur !).
Une modération a posteriori sur le Market suffit, ce qui est déjà possible apparemment car tout utilisateur peut dénoncer une application.
C'est impossible à déterminer statiquement (donc automatiquement). Tant que l'application n'est pas exécutée, il est impossible de savoir ce qui va se passer. C'est pourquoi la vérification des permissions ne peut se faire qu'au "runtime", c'est-à-dire au moment même où l'application va faire appel à une fonctionnalité nécessitant une permission.
Quelqu'un a déjà regardé les autorisations demandées par Notes de HTC? ...
Une solution (que je pratique depuis plusieurs années sur mes machines) serait de n'utiliser (dans la mesure du possible) que des applications open source. J'en parle ici : http://www.axellience.com/?p=78 Si vous avez connaissance d'un projet qui recense les applications open source pour Android, je suis preneur !
Je te parle d'un market "alternatif". Donc pour faire cohabiter l'Android Market avec un Yaam, un AppsLib ou un OrangeStore. Fourni ou pas par défaut dans ton tel mais surtout en plus de l'Android Market. ps : heureux de voir que tu nous lis toujours ;)
@ Jorodan Un market filtré c'est le début du système Apple. Et je trouve que cela à l'effet pervers de rendre les gens moins méfiant (voir les envois de données GPS de l'Iphone sur un server distant Apple alors que le téléphone est en connexion data manuelle) Les gens "normaux & sensibilisés" se méfient bien de ce qu'ils installent sur leurs ordinateurs et s'équipent d'antivirus, anti-spyware et autres. Alors pourquoi ne pas en faire de même avec ce qu'on télécharge sur son téléphone ? Moi personnellement je vérifie les permissions, j'ai un programme type Antivirus/Malaware/firewall sur mon Android, tout comme sur mon PC. Le gros soucis vient du fait que les utilisateurs de smartphone sont parfois bien moins sensibilisés aux risques, contrairement aux utilisateurs de PC à qui ont rabache cela depuis deux décennies.
Il faudrait aussi avoir une sorte de répertoire qui explique ce à quoi correspond réellement chaque permission, car certaines peuvent être floues...
ce que je voulais dire c'est que le développeur peut aujourd'hui mettre toutes les permissions qu'il désire, même si elle ne sont pas requises pour le fonctionnement. Il serait bon, à mon avis, que le compilateur examine le code de manière à mettre en place les permissions uniquement nécessaires.
En fait, je trouve dommage qu'une appli ne puisse pas demander une permission 'à la volée', un peu comme vista. Par exemple, je suis en train de mettre ScoreLoop dans mon jeu. Et pour la partie 'sociale', il te propose de comparer tes scores avec ceux de tes contacts. Soit. Mais pour faire ca, il faut que mon jeu ait l'autorisation de lecture des contacts... En tant qu'utilisateur, je me méfie clairement d'un jeu qui demande l'autorisation lire les contacts. Par contre, si en cours de jeu, j'avais un pop up qui s'affiche pour expliquer la situation et demander si j'autorise temporairement une lecture des contacts, ca passerait beaucoup mieux...
Il faudrait une application qui autorise ou non l'utilisation de tel ou tel service lors du lancement d'une application avec la possibilité de garder le paramètre ! un peu comme ce que fais ZoneAlarm. Sinon moi je fais confiance à frandroid ! Je ne télécharge que les app que je trouve dans leurs news ;)
Trop d'applis! Moi je préfère avoir des markets alternatifs filtrés! Regarde notre ami de chez Yaam ;)
Comme l'a énnoncé un des notre dans les commentaires... Pourquoi ne pas faire un site communautaire des application malvaillantes ? Et pourquoi pas le faire sur le Forum dans un rubrique dédier et voir même un lien direct sur la page d'acceuil frandroid.com ? 9a serai génial de tous participer nan ?
Bonjour à tous, Concernant la gestion des droits : Si je ne me trompe pas, pour pouvoir coder les accès à certaines fonctionnalités du téléphones, en particulier les communications ou les ressources hardware, il faut déclarer les permissions nécessaires dans un fichier. Sinon, il n'est pas possible d'utiliser les fonctionnalités en question. (Exemple : pour pouvoir utiliser la fonction qui permet d'envoyer un sms, il faut éditer le fichier des permissions avec la permission "envoi de SMS") C'est ce fichier qui est utiliser pour lister les permissions sur le market. Donc a priori, pas besoin de génération automatique car toutes les fonction nécessitant une permission sont bloqués, à moins de déclarer la dites permission. Rappelons le encore une fois, la liste des permissions requises est importantes !
avant de télécharger l'application avais accès a: Communications réseau Outils système Stockage et après avoir télécharger "msn talk" je regarde les informations et il a accès a : Communications réseau Outils système Stockage appel c'est pas normale non ?
c'est normale qu'avant de télécharger l'application "msn Talk" on voit que l'application a accès a 3 de mes contenues de mon téléphone et après quand l'application est télécharger je vais regarder les informations de l'application on voit que l'application a accès a plus de contenus ?
et dire qu'en chine (site web en ligne), ils vendent des téléphones portables avec les Spy déjà installés !
Bonjour, c'est fou que ce soit aussi facile d'espionner quelqu'un! et un truc comme flexispy c'est pas normale que ça existe, non? ça marche aussi sous Android?
Merci pour la correction, c'est beaucoup plus logique pour les lecteurs! tres bon article, qui je l'espere fera réfléchir les utilisateurs. Pourquoi est-ce si simple sur un ordinateur et si compliqué sur un téléphone.
C'est quand même bidon pour l'application "tap snake" car c'est justement l'application cliente d'une application espion "spy gps" qui cite clairement dans le market qu'il faut mettre "tap snake" pour surveiller le téléphone. Donc en aucun cas c'est un virus ou un malware !! C'est juste que certaines personnes veulent en surveiller d'autres.
en tout cas, le mot virus a tout son sens et probabilités avec les téléphones rootés.
on va jouer sur les mots....il faudrait que je pense à faire des liens sur wikipedia :)
Les permissions c'est bien comme système mais comment savoir si l'app demande un accés internet pour la pub ou pour une autre" utilisation ...
Je vois pas pourquoi tout le monde s'inquiete, c'est écrit ce que l'apllication utilise, donc si on sait pas "lire" c'est de notre faute. C'est comme si un voleur viend chez toi et te demande s'il peut tout voler dans ta maison. C'est exactement le même principe. Et comme dans pas mal de chose informatique, le problème est le périphérique entre la chaise et le clavier :)
Salut . Justement , en parlant du fait qu'on peut dénoncer , lorsqu'on désinstalle une appli , on peut sélectionner "appli malveillante" . Sur le market , je vois de plus en plus de commentaire "ce jeu contient un virus" , moi même ne m'y connaissant pas , comment les identifier ? Il n'y a pas de logiciel d'antivirus android ? (Je parle de l'appli Asphalt 4 , je l'ai téléchargé , c'est un jeu qui marche et tout , mais bon , un commentaire dit que c'est un virus ...)
Oui mais non Arnaud. Un virus, sa caractéristique principale est d'avoir la capacité de s'auto-propager, ce qui n'est pas le cas ici. Une appli qui envoie des SMS surtaxés, c'est une appli malveillante mais qui n'a aucun pouvoir de réplication. Je comprends que tu veuilles marquer le coup mais comme le disent certains, les "noobs" risque de se jeter sur des machins appelés "anti-virus" sur le Market qui risquent bien d'être eux même des malwares.
Je pense que Google pojurrait faire un gros effort au niveau sécurité, côté market et côté terminal. Cela m'étonne que Google n'est pas pensé a ce genre de problème.
Je parle de "virus" en citant application malveillante dans l'article car : - Les deux exemples que je citent parlent bien de virus (pour moi envoyer des SMS à ton insu est un virus) et de spyware. La notion de virus est plus forte pour les utilisateurs lambda (quelqu'un parlait de Tatie Michelle) que celle d'application malveillante ou de spyware. Personnellement je fais bien la différence ici entre virus, spyware, malware ou autres phishing. j'espère que cette explication permettra de mieux comprendre, et d'être en accord, avec le choix du titre.
Il existe déjà, ce système, cf. "Signaler du contenu pouvant offenser". Il suffirait de changer le libellé en "Signaler du contenu pouvant offenser ou une application malveillante".
plussification !
Je pense que Google va agir sur le sujet. + de terminaux Android, donc + de cibles potentielles, ce genre de malware va probablement fleurir rapidement maintenant. Je ne serais pas étonné que Google ajoute un système de "dénonciation" sur le market. (enfin si un jour ils daignent le mettre à jour...)
Arf, message envoyé par erreur, dsl. Je disais donc, l'acces a la position geo approximative. Il me semble que c'est utile pour les codes d'admob et autres pour diffuser des pubs ciblées. C'est inquietant mais ca ne permet pas une precision de plus d'une centaine de metres... C'est toujours une bonne chose de verifier les permissions mais en effet, ça serait vraiment un gros plus de pouvoir les attribuer ou non aux applis (mais dans ce cas, il faudrait changer beaucoup de codes pour ne pas generer d'erreur lorsque la permission n'est pas donnée).
Un petit rappel bien nécessaire, et pour ma part, avant l'apparition de ces virus, je n'avais jamais porté plus d'attention que cela aux permissions, mais maintenant, avec les petits joueurs sur un système libre, mon comportement va changer
Un projet sympa sera de créer un site communautaire qui listerait les applications douteuses / malveillantes.
Utile pour la publicité ciblée je présume.
Pas mal d'appli gratuites ne demandent pas le GPS mais l'acces a la position geographique
je plussoie. "A computer virus is a computer program that can copy itself and infect a computer. The term "virus" is also commonly but erroneously used to refer to other types of malware"
Mais pourquoi appeller une "appli malveillante" un virus. Les 2 termes sont totalement différents et à part créer la panique et faire télécharger aux utilisateurs un anti-virus pour android, qui a 100% de chance d'être plus maléfique qu'une appli classique, je ne vois pas trop l'intéret. Est-il possible de remplacer les termes virus de l'article par "appli malveillante"?
La génération "automatique" des permissions poserait à mon avis problème : * Il me semble indispensable que le développeur maitrise les permissions demandées par son appli. * Dans le cas d'utilisation de librairies tierces (.jar), d'une part l'environnement de développement aura bien du mal à savoir quelles sont les permissions nécessaires (qu'est-ce qui est réellement utilisé par l'application dans une librairie ?), d'autres part le générateur de permissions masquerait au développeur des permissions dont il n'aurait pas forcément besoin, laissant porte ouverte à la création de librairies qui sous couvert de fournir des fonctionnalités intéressantes au développeur auraient un comportement caché malveillant.
j'ai remarqué que pas mal de jeux gratuits demandais l'ax au GPS, j'ai jamais compris pourquoi. Serait ce donc là un espion ? Il convient alors de les désintaller non ?
Très bonne idée de rappeler les bonnes pratiques ici! La faille, c'est bien l'utilisateur :) Le système de permission fait parfaitement son boulot, mais va expliquer à Tatie Michelle qu'un jeu de Snake est suspect s'il réclame l'accès au GPS. (le gépékoi?) :)
Plutôt que de générer les permissions par rapport au code ou en plus de cela, plutôt permettre a l'utilisateur de gérer au cas par cas les permissions d'une appli un peu plus finement :)
J'aimerai juste préciser que le système n'affiche pas "que 2 permissions" mais toutes les permissions dont le "protectionLevel" est supérieur à "normal" comme c'est indiqué là : http://developer.android.com/reference/android/R.styleable.html#AndroidManifestPermission_protectionLevel. Comme les niveaux par défaut ne sont pas modifiables pour les permissions de bases, il n'est normalement pas possible de pour un développeur cacher une permission dangereuse.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
Gérer mes choix