Google vient de procéder au lancement de la version web de son magasin en ligne pour faire ses courses au rayon des applications (voir notre article « Faites vos courses chez l’Android »). Mais sous ses apparences débonnaires, le petit droïde vert pourrait bien nous montrer son côté obscur.
Afin de nous rendre compte de l’apport de la version web de l’Android Market, nous avons voulu la tester et ce que nous avons découvert, au niveau de l’aspect sécuritaire, a de quoi faire peur. Via une interface web, il est possible d’installer une application sur son smartphone. Aucune autorisation d’accès n’est nécessaire, si ce n’est que sur le web. Vous vous demandez bien où est le problème. Petite explication.
Par le web, il est toujours nécessaire d’autoriser l’application avant son installation. Désormais, il est également possible d’utiliser des comptes Gmail compromis (compte Gmail = compte Google = compte Android Market = compte couplé avec le téléphone) pour installer sur le téléphone de son propriétaire, sans son consentement, n’importe quelle application provenant de l’Android Market.
Le processus d’installation (et donc d’autorisation) est déporté sur le web. De ce fait, le propriétaire ne se rend compte de rien, sauf s’il tient son smartphone dans la main et qu’il jette un coup d’œil, eu haut à gauche de son écran. Il y découvrira une petite icône de quelques pixels, l’avertissant du téléchargement de l’application.
Il est donc très facile d’installer tout type d’applications malveillantes, comme un logiciel espion, l’envoi de SMS surtaxés ou tout autre, sans même que le propriétaire du smartphone sans aperçoive. Or l’Android Market possède déjà bon nombre d’applications de surveillance ambivalentes dont l’usage peut être très facilement détourné à des fins agressives.
Le modèle de sécurité des smartphones est ainsi remis en question avec l’absence d’autorisations d’accès. Le consentement explicite de l’utilisateur n’est pas pris en compte, ce qui revient à s’indexer au niveau de sécurité d’un PC. Quand on sait que plusieurs millions d’internautes français ont leur machine infectée par des virus, on ne peut guère être rassuré. Espérons que Google intervienne rapidement afin de combler cette faille.
Poster un Commentaire