Google limite les autorisations excessives des applications pour Android

Les autorisations excessives des applications mobiles constituent depuis longtemps un problème pour la sécurité et la protection de la confidentialité, surtout pour les utilisateurs d’Android qui téléchargent leurs applications depuis d’autres sources que Google.

Parmi les cas les plus retentissants, citons la société Goldenshores Technologies LLC qui est parvenue à un accord avec la Commission fédérale du commerce des Etats-Unis suite à l’accusation selon laquelle cette société avait trompé les utilisateurs qui avaient téléchargé sa lampe de poche pour Android. L’application sollicitait un nombre imposant d’autorisations, y compris le partage des données de géolocalisation qui étaient revendues à des sites de publicité.

Il y a 2 jours, lors de la conférence annuelle Google I/O, Google a annoncé la mise en place d’un nouveau système sur Android similaire à ce que l’on trouve déjà chez Apple. Les utilisateurs pourront télécharger des applications sans leur octroyer la moindre autorisation. L’application sollicitera l’octroi d’autorisation par l’intermédiaire de messages pendant l’utilisation.

Auparavant, les applications mobiles exagéraient et exigeaient l’accès aux contacts, aux SMS, à l’appareil photo, au micro, à la galerie, etc. Les malwares peuvent exploiter de telles autorisations à leur avantage, par exemple en envoyant des SMS à des numéros surtaxés. De telles actions coûtent cher à l’utilisateur et rapportent beaucoup au criminel. Les autorisations sont généralement octroyées de manière globale lors du téléchargement. En général, les utilisateurs qui ne sont pas très informés sur les questions de sécurité, acceptent toutes les conditions uniquement pour pouvoir installer l’application plus vite.

A titre d’illustration, l’Information Commissionner’s Office au Royaume-Uni a publié en septembre dernier un rapport qui étudiaient 1200 applications parmi les plus souvent téléchargées et les autorisations qu’elles exigeaient. Les conclusions du rapport indiquent que la majorité des applications (85 %) n’explique pas comme il se doit aux utilisateurs les informations qui sont récoltées ni la manière dont la collecte s’opère. L’utilisateur ne sait pas non plus quelle utilisation est faite de ces données et à qui elles sont transmises. Dans la majorité des cas, l’existence d’une politique de confidentialité est douteuse.

Lors de l’intervention inaugurale de la conférence I/O, un représentant de Google a déclaré que la société espérait que le nouveau système amènerait les développeurs à penser dès le début aux questions de sécurité et de confidentialités et à exiger moins de données des périphériques et, par conséquent, des utilisateurs. Dans le cadre du nouveau système, les utilisateurs décideront une fois d’octroyer ou non une autorisation à l’application en sachant qu’un refus pourrait limiter les possibilités et les fonctions de l’application.

« J’espère que les utilisateurs prêteront plus attention à l’impact des applications qu’ils installent sur la sécurité » a déclaré Steve Manzuik, directeur des études sur la sécurité de l’information chez Duo Security.

Google avait franchi les premiers dans cette direction avec l’introduction d’Android 5.0 Lollipop qui se caractérise par l’application obligatoire de la stratégie au niveau du noyau via SE Linux et le chiffrement par défaut du périphérique. Ces deux éléments permettent de réduire les risques liés aux autorisations excessives en permettant au noyau de gérer les autorisations des applications.

Le premier rapport de Google sur la sécurité d’Android publié en avril, contient quelques chiffres précis sur l’efficacité des autres mesures de sécurité de ce système d’exploitation, notamment Verify Apps (anciennement Bouncer) et Safety Net. Tous les deux réduisent le nombre d’applications potentiellement dangereuses que les utilisateurs peuvent télécharger depuis Google Play. Ainsi, le rapport indique qu’une application dangereuse a été installée sur moins d’un pour cent des périphériques Android et 0,15 % des périphériques qui avaient téléchargé des applications uniquement via Google Play contenait une application dangereuse.

Source: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *