Google vient de procéder au lancement de la version web de l'Android Market. Si le lancement de cette nouvelle plateforme est déjà plébiscité par la presse spécialisée, en revanche en matière de sécurité, son arrivée fait froid dans le dos : il est désormais possible, via une interface web de pousser une application sur son téléphone. Et ce, sans aucune interaction avec le téléphone. L'application demande toujours ses autorisations d'accès, mais ne le fait plus que sur le web.
Source : zdnet.fr/blogs
Vous me direz, qu'est-ce que ça change, puisqu'il est toujours nécessaire d'autoriser l'application avant son installation ? En fait cela change tout, puisqu'il est désormais possible d'utiliser des comptes Gmail compromis (puisque compte Gmail = compte Google = compte Android Market = compte couplé avec le téléphone) pour pousser sur le téléphone de son propriétaire n'importe quelle application disponible sur l'Android Market, sans son consentement. Et comme tout le processus d'installation est déporté sur le web, le propriétaire du téléphone ne verra rien, ni demande d'autorisation à accéder aux ressources du téléphone, ni notification pendant l'installation de l'application. Sauf s'il tient son téléphone en main à ce moment précis, il pourra voir en haut à gauche de son écran un mini-icône de quelques pixels de large signalant le téléchargement en cours d'une application -- et a posteriori, il pourra voir une nouvelle application installée, mais le mal aura déjà été fait. Tout l'intérêt étant alors de pousser silencieusement sur le téléphone une application malveillante, un logiciel espion, un application qui envoie des SMS surtaxés, etc. Or, l'Android Market regorge déjà d'applications de surveillance ambivalentes, dont l'usage peut être facilement détourné pour en faire un vrai malware (rappelons que toute application de surveillance à l'insu de la personne surveillée est illégale, malgré les discours qui tentent de légitimer de tels usages, comme la surveillance de ses enfants ou de son conjoint).
Il s'agit bel et bien d'une dégradation importante de la sécurité d'Android : tout le modèle de sécurité des smartphones tenait justement sur le caractère indispensable du consentement explicite de l'utilisateur avant d'installer une application et de lui donner les autorisations demandées ; mais désormais, la sécurité d'un téléphone Android est indexée sur le niveau de sécurité du PC de son propriétaire, qui est peut-être déjà infesté par un virus -- comme c'est déjà le cas pour plusieurs millions d'internautes français. De plus, les mots de passe d'accès à des comptes Google font l'objet depuis longtemps d'une économie souterraine, des criminels se revendant au marché noir des comptes piratés volés par phishing ou par pharming. Il est probable que la cote de ces comptes grimpe rapidement suite à l'apparition de cette nouvelle fonctionnalité...
Aucun commentaire:
Enregistrer un commentaire