Infos

Google limite les autorisations excessives des applications pour Android

Les autorisations excessives des applications mobiles constituent depuis longtemps un problème pour la sécurité et la protection de la confidentialité, surtout pour les utilisateurs d’Android qui téléchargent leurs applications depuis d’autres sources que Google.

Parmi les cas les plus retentissants, citons la société Goldenshores Technologies LLC qui est parvenue à un accord avec la Commission fédérale du commerce des Etats-Unis suite à l’accusation selon laquelle cette société avait trompé les utilisateurs qui avaient téléchargé sa lampe de poche pour Android. L’application sollicitait un nombre imposant d’autorisations, y compris le partage des données de géolocalisation qui étaient revendues à des sites de publicité.

Il y a 2 jours, lors de la conférence annuelle Google I/O, Google a annoncé la mise en place d’un nouveau système sur Android similaire à ce que l’on trouve déjà chez Apple. Les utilisateurs pourront télécharger des applications sans leur octroyer la moindre autorisation. L’application sollicitera l’octroi d’autorisation par l’intermédiaire de messages pendant l’utilisation.

Auparavant, les applications mobiles exagéraient et exigeaient l’accès aux contacts, aux SMS, à l’appareil photo, au micro, à la galerie, etc. Les malwares peuvent exploiter de telles autorisations à leur avantage, par exemple en envoyant des SMS à des numéros surtaxés. De telles actions coûtent cher à l’utilisateur et rapportent beaucoup au criminel. Les autorisations sont généralement octroyées de manière globale lors du téléchargement. En général, les utilisateurs qui ne sont pas très informés sur les questions de sécurité, acceptent toutes les conditions uniquement pour pouvoir installer l’application plus vite.

A titre d’illustration, l’Information Commissionner’s Office au Royaume-Uni a publié en septembre dernier un rapport qui étudiaient 1200 applications parmi les plus souvent téléchargées et les autorisations qu’elles exigeaient. Les conclusions du rapport indiquent que la majorité des applications (85 %) n’explique pas comme il se doit aux utilisateurs les informations qui sont récoltées ni la manière dont la collecte s’opère. L’utilisateur ne sait pas non plus quelle utilisation est faite de ces données et à qui elles sont transmises. Dans la majorité des cas, l’existence d’une politique de confidentialité est douteuse.

Lors de l’intervention inaugurale de la conférence I/O, un représentant de Google a déclaré que la société espérait que le nouveau système amènerait les développeurs à penser dès le début aux questions de sécurité et de confidentialités et à exiger moins de données des périphériques et, par conséquent, des utilisateurs. Dans le cadre du nouveau système, les utilisateurs décideront une fois d’octroyer ou non une autorisation à l’application en sachant qu’un refus pourrait limiter les possibilités et les fonctions de l’application.

« J’espère que les utilisateurs prêteront plus attention à l’impact des applications qu’ils installent sur la sécurité » a déclaré Steve Manzuik, directeur des études sur la sécurité de l’information chez Duo Security.

Google avait franchi les premiers dans cette direction avec l’introduction d’Android 5.0 Lollipop qui se caractérise par l’application obligatoire de la stratégie au niveau du noyau via SE Linux et le chiffrement par défaut du périphérique. Ces deux éléments permettent de réduire les risques liés aux autorisations excessives en permettant au noyau de gérer les autorisations des applications.

Le premier rapport de Google sur la sécurité d’Android publié en avril, contient quelques chiffres précis sur l’efficacité des autres mesures de sécurité de ce système d’exploitation, notamment Verify Apps (anciennement Bouncer) et Safety Net. Tous les deux réduisent le nombre d’applications potentiellement dangereuses que les utilisateurs peuvent télécharger depuis Google Play. Ainsi, le rapport indique qu’une application dangereuse a été installée sur moins d’un pour cent des périphériques Android et 0,15 % des périphériques qui avaient téléchargé des applications uniquement via Google Play contenait une application dangereuse.

Source: Threatpost

Google limite les autorisations excessives des applications pour Android

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception