lundi 30 août
Accueil :: Dépêches :: Entretiens :: Journaux :: Forums :: Sondages :: Suivi :: Statistiques :: Contact :: Plan

Liens connexes

Dépêche modérée par

Dépêche éditée par

: Les smartphones nous connaissent si bien, dixit une boîte noire de sécurité

Posté par Malicia (page perso, ). Modéré le 30 juillet 2010.
17
La conférence Black Hat, dédiée à la sécurité informatique, se finit aujourd'hui à Las Vegas. Les téléphones mobiles évolués dits smartphones tels que iPhone ou Android et les problèmes de confidentialité inhérents y ont eu une place importante. La société Lookout a assisté à la conférence et a présenté un projet, App Genome, qui a révélé d'intéressantes informations à propos de la sécurité des applications mobiles... mais n'est-ce pas pour mieux faire de la pub à sa propre application (propriétaire jusqu'aux oreilles) Lookout, qui permet de garder les utilisateurs à l'abri d'applications malintentionnées... selon eux ?

> Lire la suite (21 commentaires, moyenne: 3,2).   [dépêche : 5414 caractères]

La société Lookout a récemment lancé son projet App Genome présenté par eux comme le « plus vaste jeu de données à propos d'applications pour téléphones mobiles jamais créé » (« the largest mobile application dataset ever created »). Ce projet vise à cartographier et étudier des applications pour smartphones et ainsi identifier des failles de sécurité. Aussi, il permet de faire comprendre la façon dont ces applications accèdent aux données personnelles.

Quelques observations ont été faites qui montrent des différences concernant les données sensibles auxquelles les applications d'iPhone et Android accèdent, ainsi que la prolifération d'applications de tierces parties installées sur les deux plate-formes :
De nouvelles failles de sécurité ont été détectées, ainsi que des vulnérabilités telles que des fuites de données. De telles fuites arrivent lorsque des développeurs, par inadvertance, exposent des données sensibles stockées dans les logs de leur application à des logiciels malveillants présents sur la machine. Les créateurs de l'App Genome présentaient donc leur projet ainsi que leurs préconisations en direction des constructeurs et développeurs lors de la conférence Black Hat.

Exemple de fuite de données, le 28 juillet apparaissait sur le site Venture Beat un billet décrivant brièvement le vol d'informations personnelles par une application de fond d'écran. L'application Wallpaper, All Categories d'Android se révèle collectrice d'informations, envoyées sur un serveur en Chine. L'Android Market rapporte entre 50 000 et 250 000 téléchargements, mais Venture Beat affirme qu'il s'agit de 1,1 à 4,6 millions de téléchargements. Par ailleurs, les données personnelles envoyées vers un serveur à Shenzhen (Chine) ne sont pas les historiques de navigation web, mais les messages courts (SMS), le numéro de carte SIM, l'identifiant de contrat et probablement les mots de passe de boîtes vocales.

Tout ceci est bel et bon : cette société veille à ce que nous ne soyons pas donné(e)s en pâture à des applications malveillantes, grâce à une application à télécharger, Lookout. Quelle est cette application ? La petite présentation en début de dépêche est issue du site web de l'éditeur où est présenté App Genome, mais en l'état, il n'y a que Lookout, l'application éponyme, qui est en vente. Le but de cette dernière est de protéger votre téléphone (mais comment exactement ?) et de sauvegarder vos données (chez eux). La partie intéressante est toujours la licence sous laquelle le logiciel est distribué. Et ici, on est dans le propriétaire parfait. La page Terms est claire : vous ne possédez que la licence pour installer le logiciel sur deux téléphones mobiles maximum, vous ne pouvez pas modifier, décompiler, etc., le binaire que vous avez acheté ; tout ce qui concerne le logiciel est propriété de son fabricant, etc. Vous connaissez la chanson des licences proprio. Très gentils, ces gens vous préviennent aussi qu'ils peuvent modifier les conditions d'utilisation sans avertissement lesquelles seront mises à jour directement sur le site.

La partie données personnelles est également intéressante : ils ont accès à toutes les données personnelles (contacts, messages, photos, vidéos) stockées sur le smartphone et vous permettent de les héberger chez eux, de les partager et/ou les diffuser, mais vous êtes responsable de tout. (« 10.1 The Lookout Services may allow the submission of content and materials (such as contact lists, messages, photos, videos, or notes) by you ("User Data"), and the hosting, storing, sharing and/or publishing of such User Data. You shall be solely responsible for your own User Data and the consequences of storing or transmitting them. »)

Le point 10.2 vous explique également qu'ils peuvent fouiller dans vos données de téléphone portable à la recherche de choses inappropriées ou illégales (selon leur bon plaisir) mais s'ils en ratent ou se trompent (et que d'autres personnes se plaignent), ce n'est pas de leur faute (« Lookout assumes no responsibility for actively monitoring User Data for inappropriate or illegal content. »). Ce paragraphe fort intéressant finit en vous précisant que néanmoins, Lookout se réserve le droit de vous empêcher, à tout moment, de sauvegarder des données ainsi que de restreindre ou supprimer les données de l'utilisateur quelle que soit la raison (super fiable le backup).

Donc, on ne sait pas exactement ce que ça fait, mais c'est bien. Mieux encore : c'est pour votre bien, ayez confiance, les méchants c'est les autres.

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

Téléphone d'occasion

Posté par chimrod (Jabber id, page perso, ) le 30/07/2010 à 11:39. (lien). Évalué à 10.

Le problème des application n'est pas le seul qui se pose avec ces nouveaux ordinateurs de poche : J'ai acheté un n900 d'occasion il y a quelques mois. Le propriétaire avait pris soin de supprimer les mails, contats, et autres logiciels installés pour le rendre dans état «d'origine». Sauf qu'il n'avait pas réinstallé le système.

Un ls -la dans le home du téléphone m'a permit d'accéder au fichier de configurations des applications pourtant désinstallées : compte msn, spotify, brouillons de mails… Tout cela était encore disponible sur le téléphone.
C'est impressionnant de voir tout ce qui peut rester sur un PC, et en écrivant ce message je me demande s'il n'existe pas une appli qui scrute le disque à la recherche de ces infos (ça m'intéresserai…)

Dans le cas du n900 il est possible de réinstaller le système et donc d'éffacer ces données, ne connaissant pas l'iPhone je ne sais pas si cela est également possible, mais vu la quantité des données qui sont stockées, je suis persuadé qu'il n'est pas possible de nettoyer tout ça à la main, il restera forcément des données oubliées.

--
Un commentaire de plus en bépo

[ Répondre ]

C'est une feature

Posté par Elie (page perso, ) le 30/07/2010 à 13:57. (lien). Évalué à 10.

Si vous ne lisez pas M.I.S.C:

Des fuites importantes d'informations ne requièrent aucun logiciels espions, un simple navigateur suffie ! (numéro de tel, de carte sim, apn et autres).
[http://protocol-hacking.org/post/2010/04/12/Compte-rendu-Can(...)]

Comme l'a dit le PDG de google: "La vie privée est morte, il faut vous y faire"

[http://fr.readwriteweb.com/2010/07/27/a-la-une/des-chercheur(...)]

Répétez après moi: "il faut vous y faire".

--
abrutir son prochain deviens tellement commun.

[ Répondre ]

Sandbox et privilèges

Posté par \_o< QUACKKKKKKKKKKK !!!!! (Jabber id, page perso, ) le 30/07/2010 à 14:02. (lien). Évalué à 7.

N'ayant jamais eu d'Android ou d'iphone sous la main, je ne sais pas comment cela fonctionne.

Par contre j'ai eu des téléphones supportant J2ME (Java Mobile Edition) et j'ai un Nokia 5800 sous Symbian.

Alors, autant je trouve que J2ME a mal vieilli et que c'est une plaie pour développer avec, autant je trouve que les privilèges applicatifs sont assez bien gérés. Les applications J2ME ont ainsi des privilèges configurable à tout instant :
- Forçage du point d'accès
- Accès réseau
- Accès messagerie
- Démarrage automatique
- Lire/Modifier données utilisateur (Contacts / Agenda,...)
- Accès GPS
- Contrôle Appel
Et pour chacun des critères ont peu configurer à :
- Jamais
- Demander à chaque fois
- Demander la première fois
- Toujours

Étrangement rien de tout cela pour les applications Symbian (WGZ ou SIS).

L'autre problème c'est si l'application a le droit de "Lecture de la mémoire", elle peut très bien accéder aux contacts, aux SMS, aux mails,... Bin, oui c'est bien stocké sur le téléphone. Et ça ce n'est pas clair pour l'utilisateur.
De même, donner l'accès réseau à une application comme une appli de fond d'écran ce n'est pas étonnant si cette application propose de télécharger les fonds d'écran récents automatiquement. L'accès au disque non plus, il fat bien qu'elle aille lire les fond d'écrans sur celui-ci. Sauf que c'est difficile de savoir si l'accès réseau si c'est pour lire des données ou en envoyer. Rien n'empêche à l'application en demandant le dernier fond d'écran d'envoyer vos contacts (récupéré en fouillant le disque) un par un dans l'URL, genre : http:///image.com/getNewImg.php?tel=064936XXXX&contact=0(...)

Cela dit, ce n'est pas un problème propre aux applications mobiles. Ces problèmes se posent déjà pour les applications sur poste fixe.

Déjà ce qu'il faudrait c'est que les applications tournent de façon isolées dans un espèce de bac à sable qui fait qu'elles ne peuvent accéder qu'à leurs données et uniquement leur données par défaut. C'est le cas en J2ME mais cela devrait toujours être le cas.

[ Répondre ]

INteressant

Posté par grillon80 () le 31/07/2010 à 14:29. (lien). Évalué à 1.

C'est intéressant comme article.
Je viens de remarquer que sur ma version actuelle de mon OS Iphone je ne peux plus autoriser la géolocalisation à la demande. Ma version actuelle m'oblige à la mettre en position active ou désactivé, c'est du tout ou rien.
Je ne sais même pas depuis quand ça a changé...

[ Répondre ]

[+] Linuxfr relai pour le FUD ?

Posté par fedorat () le 31/07/2010 à 15:03. (lien). Évalué à -1.

Quand un article en première page se permet de relayer les allégations d'une société dont le but est de faire parler de son pseudo logiciel de sécurité moi j'appelle ça du FUD.

Heureusement il reste des gens consciencieux, je vous suggère donc d'aller lire l'interview du développeur de l'application incriminée (avec photo d'écrans sur l'android store à l'appui) en suivant ce lien :

[http://www.androidtapp.com/android-wallpaper-apps-falsely-ac(...)]

Pour infos, Android crée une VM par application.

[ Répondre ]

Je rêve...

Posté par FantastIX () le 31/07/2010 à 16:35. (lien). Évalué à 0.

Aujourd'hui, on “doit” s'inquiéter de ce qu'une application a accès aux données de la machine sur laquelle elle est installée?...

Euuh... Je dois aussi m'inquiéter si mon service Kerberos a accès à la totalité des mots de passe des utilisateurs et des services? Parce que, si c'est le cas, comme c'est une application gratuite, faudrait pas que les mots de passe foutent le camp sur tout le réseau, hein? On est bien d'accord?

Ouaaaaaaaaaaaaah! Gnumeric a aussi accès à mes tableaux OpenOffice? Non mais ça va pas la tête? Faut arrêter ça tout de suite!

...

C'est quoi ce délire? C'est moi où c'est juste une vague de paranoïa virale?

[Faudrait juste que vous puissiez voir ma tronche, en ce moment, vraiment...]

[ Répondre ]

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

Revenir en haut de page

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.1177s (dont 0.0109 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !