faites attention aux permission abusive de certaine application

[cikatrice]

Nos smartphones contiennent de plus en plus de données sensibles (documents, photo, video, contacts, connexions vpn, ...), la sécurité des données deviens donc un facteur important, et le non contrôle des applications du market présente un facteur de risque non négligeable.

J'ai donc créé ce topic afin de répertorier les applications utilisant des services non utiles à leur bon fonctionnement et, où les utilisateurs n'ont pas été prévenu par une explication même succincte du pourquoi du comment.

Pour l'instant sont retenu les applications suivantes :

• Advanced Task Killer : utilisation des services réseaux et position
  
• Android LightSaber : utilisation du service "Votre position"
  
• Andnav 2 : Accès aux données de contacts, audio/video, sms et appel
  
• Barcode Beasties : Positionnement geo approximative
  
• Barcode scanner : Lecture de l'historique du navigateur et des favoris
  
• FarmAnimals : Utilisation de réseaux, Votre position, modification des paramètres généraux du système, Accès aux données des contacts
  
• ICviewer : Position géo approximative
  
• Inclinometer : accès internet, position
  
• NavAll : appel direct des numéros de téléphone, envoi de messages sms, enregistrement de fichier audio, prise de photos, accès aux données des contacts
  
• Phitdroid : Votre position
  
• ShopSavvy : utilisation du gps pour la geo localisation en dehors des périodes d'utilisation du logiciel
  
• The Weather Channel : Services Payants : appels directs des numéros de téléphone
  
• Usefull switcher : Localisation GPS
  

Applications utilisant des services ouverts et ayant eu une explication du dev quand à cette ouverture et n'étant donc pas exploitées à des fins malicieuses (Applications ne posant donc pas de problème, mais qui pourrait susciter des interrogations à ceux qui compte les installer.) :

• A Bon entendeur : Lecture SMS ou MMS, Réception sms, Envoi SMS, Accès aux données des contacts - Ouvert par le dev en prévision d'ajout de nouvelles fonctions (voir https://www.frandroid.com/forum/viewtopic.php?pid=28328#p28328)
  
• Astrid : envoi de stats au site flurry.com
  
• Budgetroid : envoi de stats au site flurry.com (à partir de la version 1.3 voir https://www.frandroid.com/forum/viewtopic.php?pid=32601#p32601)
  
• Chasseur de mots : position, réseau, appel - Ouvert car utilisation du système de pub AdMob (voir https://www.frandroid.com/forum/viewtopic.php?pid=32510#p32510)
  
• Ringdroid : Votre position, réseaux (un accord de l'utilisateur est demandé pour plus d'info https://www.frandroid.com/forum/viewtopic.php?pid=38504#p38504)
  
• Trixocolor : position, réseau, appel - Ouvert car utilisation du système de pub AdMob (voir https://www.frandroid.com/forum/viewtopic.php?pid=32510#p32510)
  

n'hésitez pas à m'en dire d'autres je les ajouterais à la liste ou, comme je n'ai pas le temps de tout tester, me dire ceux qu'il faut retirer car il serait là alors qu'ils ne le devrais pas.

Présentation de aSpotCat :

Excellente application permettant de lister les applis installées en fonction des groupes de services utilisés et d'avoir le détail des services utilisés avec une explication et un seuil de criticité.

ps : l'utilisation de ces services peut-être utilisés à des fins de statistiques, mais il serait opportun que les développeurs demandent l'accord de l'utilisateur avant d'utiliser ce genre de pratiques. Il est aussi possible que ce soit un oubli des dev et qu'ils aient laissé des permissions dont ils n'ont pas besoin.

ps2 : pour les applications affichant de la pub, les fonctions gps et réseaux sont utilisées, après il est compliqué de savoir si ils font autre chose en même temps à travers ces services. Je ne les considèrerais donc pas comme potentiellement nuisible à moins que le contraire ne soit prouvé.

Protégeons notre market des abus ! Et puis y en a un peu mare d'être tout le temps pisté déjà sur les ordis, évitons que ces pratiques ne ce propages sur nos appareils mobiles.

Modifié 14 septembre 2009 par cikatrice

[aurel]

j'me lance, il suffit de faire un tour dans paramètres >applications>Gérer les applications et de regarder chacune des autorisations pour découvrir des perles d'incohérence avec le service proposé :\

• Android LightSaber : demande "Votre position" , bon [color=red]jsuis[/color] pas developpeur , les fonctions d'acceleromètres sont p-ê cachées là dessous ...
  
• Backgrounds : utilise "Vos informations personnelles" ( contacts ) , ah bon mon fond d'écran c'est communautaire ?
  
• Bubble Wrap Game : utilise "Communication réseau" (Accès internet complet ) , ah m****, ça doit être ça être dans la bulle internet ...
  

[cikatrice]

merci, je les ai rajoutés.

J'ai laissé tes com. ils étaient trés adapté :D

edit : Par contre faut faire gaf que les dev aient vraiment pas prévenu par un disclaimer parce que sinon si tu l'accepte c'est que t'es au courant qu'ils relèvent des stats et donc ils ont tout à fait le droit de le faire.

Du moment qu'ils préviennent et qu'on sait ce qu'ils en font, c'est à nous de voir si on veut utiliser ou pas leur produit.

Modifié 14 août 2009 par cikatrice

[popolbx]

Vous pouvez enlever backgrounds. Il accède aux contacs pour leur coller un avatar. "Set as contact icon ".

[Spria]

Dans tous les cas Google va devoir se pencher un de ces jours sur les droits accordés, parce que pour le moment ils laissent tout faire pour qu'il y est un maximum de développeur mais si ils continuent comme ça il risque d'y avoir beaucoup d'abus.

J'essaye de signaler les applications qui demandent des droits qui ne sont pas utiles au fonctionnement, peut-être que google se penchera dessus.

[2beta]

Petite question. Quand on a déjà installé une application, y a t-il un moyen de voir les permissions (sans la désinstaller puis la réinstaller) ?

Modifié 14 août 2009 par 2beta

[Spria]

Comme la dit aurel :

paramètres >applications>Gérer les applications

Tu choisis l'application et tu regardes plus bas c'est indiqué

[xau]

topic interressant :) met qui doit etre regulierement mis à jour (bonne chance cikatrice :p ) pour avoir un interet.

lorsqu'il y aura un nombre conséquent d'appli, je l'epinglerai :)

[cikatrice]

pas de soucis je ferais en sorte de le garder à jour ;)

[2beta]

Le jeux Trixocolor.

Il utilise :

- Position par rapport au réseau

- Accès internet

- Accès au appels

J'ai envoyé un mail au développeur pour lui demander si c'était vraiment utile ou bien si c'était une erreur. J'attends sa réponse...

[cikatrice]

ok, j'attends ton retour avant de l'ajouter

[2beta]

Voila ce qu'il m'a répondu

All this 3 access-options I exactly copied from documentation to AdMob.

AdMob is ad network for mobiles which I use in TrixoColor.

Ads use really small traffic.

Position etc - I think they are for ads localization.

En Français:

J'ai copié exactement la documentation de AdMob pour ces 3 accès.

AdMob est un service de publicité pour réseau mobiles que j'utilise dans TrixoColor.

Les pubs utilise vraiment peut de données réseau

La position, etc. Je pense que c'est pour cibler les pubs.

Donc on peut en conclure que c'est moyennement bon.

C'est pas une application malveillante en soi, mais ce que fait AdMob ça c'est le grand mystère.

Je pense malheureusement que la majorité des app gratuites avec de la pub auront probablement les mêmes accès.

Modifié 14 août 2009 par 2beta

[cikatrice]

ok, merci pour le retour rapide, je ne vais pas le considérer comme potentiellement malveillant du coup.

cela explique en partie pourquoi advanced taskiller utilise le réseau et le gps, mais pas pourquoi ils utilises Appel. (je vais ajouter ça à la description)

[doko]

Pour le Bubble Wrap Game, c'est pas un accès internet pour permettre d'envoyer les scores en lgine ?

[oeildefeu]

Voila ce que je trouve louche dans mes applis:

A Bon entendeur

- Lecture SMS ou MMS, Réception sms

- Envoi SMS

- Accès aux données des contacts

Andnav 2

- Accès aux données de contacts (y'a peut-être une option pour localiser ses contacts.. ché po!)

Barcode Beasties

- Positionnement geo approximative

Barcode scanner

- Lecture de l'historique du navigateur et des favoris

Handy Calc

- Accès internet complet

ICviewer

- Position géo approximative

Usefull switcher

- Localisation GPS

[dekans]

Handy Calc permet la conversion de devises. D'où l'accès Internet je suppose

[cikatrice]

Pour le Bubble Wrap Game, c'est pas un accès internet pour permettre d'envoyer les scores en lgine ?

si c'est pour ça je viens de le tester pour voir, je le retire et j'ajoute le reste.

hésitez pas a dire qu'en il y en a qui ne devrait pas être dans la liste :)

[oeildefeu]

Alors voila la réponse pour "A Bon entendeur"

Pour l'instant, ce n'est pas utilise.

A terme, je pensais rajouter la possibilite pour un utilisateur de

transmettre des informations a ses proches. Je ne sais pas si je

rajouterais cette possibilite. Ce sera en fonction des demandes des

utilisateurs.

Actuellement voici les demandes utilisateurs que je traite :

- rajouter un mode vibreur (fini, mais il faut encore que je teste en

situation reelle)

- rajouter la possibilite de regler le son,

- mettre un pointeur qui ne soit plus un rond mais une fleche iniquant

la direction

- rajouter un bouton pour quitter l'application

De mon cote, mon objectif est d'avoir une base d'information aussi

propre que possible. Je travaille sur des techniques permettant de

fiabiliser les donnees transmises par les utilisateurs.

C'est pourquoi je viens de rajouter un systeme de niveau pour les

utilisateurs. L'idee etant que seuls les utilisateurs d'un certain

niveau pourraient transmettre des informations a duree de vie

importante.

Je souhaite aussi que ce service reste gratuit. Je travaille donc sur

l'optimisation des programmes qui me permettent de transmettre les

informations aux utilisateurs afin d'avoir les serveurs les plus

petites possibles.

J'espere que ces informations vous conviennent. Si vous voulez en

savoir plus n'hesitez pas a me contacter. Meme si je suis tres

sollicite, j'essaierai de repondre avec pertinence.

Cordialement,

Didier

[cikatrice]

ok, je venais de le rajouter :D du coup je lui ai créé une section spéciale ^^

[micke7]

Bon allez je participe :

FarmAnimals :

Communication réseaux : Accès Internet Complet

Votre posistion : Localisation OK (GPS), Positon géo. approximative.

Appels : Lecture de l'état du téléphone

Outils systèmes : Modifcation des paramètres généraux du systéme

Vos informations personnelles : Accès aux données des contacts

==>Tous ça pour une application juste censé faire des cris d'animaux :)

[pierre]

Excellent post qui mérite une news sur le site à mon avis... La question de la protection de la vie privée, dans des appareils où tout y est mis, est cruciale et largement ignorée par Google (lequel n'a jamais bien su quoi faire avec ces embêtantes questions de vie privée).

[cikatrice]

FarmAnimals ajouté ;)

[artur]

Je viens de tenter la maj de Nav4all et ka liste des autorisations doit faire trois écrans!

Communication réseaux : Accès Internet Complet

votre position : localisation

Appels : lecture de l'état du téléphone

outils système : arrêt du mode veille, exécution de l'application en continu

vos messages : réception de sms

Services payants : appel direct des numéros de téléphone, envoi de messages sms

commandes du matériel : enregistrement de fichier audio, prise de photos

Vos informations personnelles : accès aux données des contacts

Donc au lieu de faire la maj, j'ai désinstallé....

[delsuppr]

Effectivement on peut se poser pas mal de questions

Peut être que vous allez trouver ça inuitile mais pourqoui pas.

Quand vous désinstallez l'appli à partir du market une question est posée sur la raison de la désinstal. Et il y a une ligne pour appli malveillante.

Donc on devvrait tous les installer et désisntaller en mettant ce motif, ça pourrait faire bouger les choses

Merci

[Spria]

Moi j'ai du mal à comprendre ce principe d'autorisations, on devrait donner les autorisations qu'a l'utilisation de l'application, c'est à dire si l'application a besoin d'aller consulter les contacts, alors un message d'avertissement nous demande si oui ou non on autorise l'application à accéder aux contacts. Rien qu'en faisant ça, ça résoudrait pas mal de problème et je serais bien plus confiant quand à l'utilisation d'application tierces. Un téléphone c'est quand même plutôt sensible niveau données perso.

J'avais envoyé un mail à un développeur à propos de la localisation, il ma répondu que c'était pour la régie plublicitaire Admod, c'est quand même moyen, le développeur devrait obligatoirement le préciser.