28 réponses à ce sujet

[Caelle]

Bonjour,
juste un petit rappel pour tous les utilisateurs de téléphones (smartphone) sous le système Android.

Ce système permettant d'installer des applications hors market (en téléchargeant tout simplement ces dernières en .apk directement sur des forum ou des market alternatifs), il est donc sensible aux applications vérolées!

Également, il n'y a pas de validation au préalable des applications publiées sur le market officiel. Il arrive de plus en plus souvent que Google fasse du tri à postériori, et retire des applications vérolées.

Jusqu'à présent, j'ai l'impression que nous étions un peu épargnés ou peu vigilants:
- il existe des applications malveillantes (qui demandent beaucoup de droits lors de leur installation, tels que des accés aux contacts, aux info perso etc...). Ces dernières bien que considérées comme malveillantes car elles n'ont comme seul but de collecter des données, peuvent passer inaperçues, et c'est bien ennuyeux...

- mais il apparait de plus en plus des applications qui demandent également beaucoup droits, et en profitent pour accéder aux fonctions appels et envois de sms ! et là, la conséquence est que sans vous en rendre compte, à part en vérifiant votre suivi conso (voir pire en recevant votre facture exorbitante de hors forfait parfois !) , des sms ont été envoyés à votre insu (service sms+)


Je me suis moi même faite pigeonner pour la première fois il y a quelques jours. Je m'en suis rendu compte en vérifiant mon suivi conso. Pourquoi? parce que deux avant j'ai reçu un sms (numéro court 81792 ) dont je n'ai vu que l’aperçu (en anglais, me confirmant la prise en compte d'un truc...). Je l'ai jeté direct...
Mais 2 jours après la mise à jour de mon suivi conso: hors forfait de 3.20€.
Dans le détail: à la même heure je crois que la réception du sms, 2 sms m' ont été facturés à 1.50€ et deux autres à 0.10€.

J'ai de suite envoyé STOP par sms au numéro 81789, pour annulé ce qui semble être un abonnement à un service de paiement par sms. (1.3€ de plus pour cet envoi, mais qui a visiblement réglé ce problème.

Orange m'a remboursé à hauteur de 5€, mais pour des montants plus importants de hors forfait il est plus difficile d’obtenir réparation, d'autant que l'opérateur n'y est pas pour grand chose (bien qu'il récupère 50% du montant...) +1 pour eux donc.

J'ai contacté également par mail la société émettrice de ses facturations. Ils m'ont rappelé par téléphone dans les 2heures qui ont suivies.
Le service est tout à fait légal, et ils semble faire preuve de bonne fois.
Ils ont black listé mon numéro sur leurs services.
Le problème est que j'ai été dans l'incapacité de leur indiquer quelle application avait pû générer cet achat sms+. Ce qui est certains, c'est que c'est via une application Market (car je ne télécharge pas en dehors ) , un jeu plus précisément. Sauf que ce jour là, j'en ai installé et désinstallé dans la foulé plusieurs jeu

Voila, vous êtes avertis

- vérifier les droits d’accès que demande une application quand vous l'installez. Certaines "abusent", n'hésitez donc pas a chercher une alternative
- ne téléchargez pas des .apk hors market. Et si vous le faites, vérifiez les droits et méfiez vous surtout des accès envois sms.
- n'installez pas des app en rafale pour les supprimer et ne plus vous en rappeler
- Vérifiez de temps en temps votre suivi conso pour limiter si besoin les dégâts.
- envoyez STOP par sms au numéro facturés.

[castafiore]

Merci pour ces précieux renseignements, Caelle

Comme déjà dit, un développeur chez XDA a mis au point une application que tout le monde devrait avoir sur son androphone: il s'agit de LBE privacy guard




Cette application peut-être téléchargée sur le Market et elle est gratuite.

Elle présente une particularité qui manque à la plupart des applications de protection sous Android: à savoir la possibilité de gérer les permissions de chaque application.

LBE informe des risques encourus à chaque installation d'application et permet de bloquer certaines "permissions" application par application, en particulier la permission d'envoyer des SMS ou de passer un appel.

Ça vaut vraiment la peine d'au minimum installer LBE sur son téléphone et de faire un scan complet de ses applications installées. C'est très simple à utiliser et d'une efficacité redoutable.
Ce scan permet aussi de vérifier quelles sont les applications fiables et celles qui ne le sont pas et de corriger le tir en bloquant les permissions non désirables...

Modifié par castafiore, 02 Feb 2012 - 11:58.

[Alfred]

Très intéressant en effet ...
Merci Caelle
Merci castafiore

Juste une petite précision (d'importance) :
pour que LBE privacy guard soit totalement fonctionnel, il faut impérativement que le téléphone soit "rooté"

[Marcduquatrevingtun]

Rooté ? Ca va à l'encontre d'une protection efficace me semble t-il ... Personnellement pour l'instant ( je touche du bois ) , aucun signe de malwares ou autres, il est vrai que ça fait un moment que je n'installe plus rien ...

[castafiore]

Dans le même genre et ne nécessitant pas de root, il y a "Doctor Permission" (gratuit sur le Market) qui permet de repérer les applications susceptibles d'envoyer sans autorisation préalable des appels et/ou des SMS.

Mais, en l'absence d'accès au root, la seule option qu'offre Doctor Permission, c'est de désinstaller ces applications qui pourraient s'avérer "dangereuses"...

[Caelle]

C'est effectivement le root pour lbe qui me dérange

[Azev]

Quand tu vois les permissions de LBE, tu te dis qu'il ne pourras rien t'arriver de terrible même si le téléphone est rooté, l'auteur lui même dis que tu peux bloquer son accès à internet en installant Droid Wall sur ton téléphone. Quand on voit ce que ce logiciel peut éviter comme trucs, je dis que le root du terminal n'est qu'un détail.

Pas d'acces SMS, pas d'acces au téléphone mis à part pour les contacts, le seul accès dit dangereux c'est Internet et tu peux facilement lui couper.

[Clara620]

Merci pour ce retour d'expérience Caelle qui rappelle qu'il faut rester vigilant. Je trouve malheureusement que la majorité des gens disposant d'un mobile sous Androïd ne réagissent pas tant que ça aux droits d' accès (souvent excessifs) demandés par les applications.
Le pire, quand je demande dans mon entourage pourquoi on accepte de leur donner ces droits, la réponse est souvent : « Oui mais sinon je ne pourrais pas avoir cette appli...».
Ce qui montre d'une manière générale qu'il y a un gros manque d'informations en la matière, qui pourraient pourtant sensibiliser les utilisateurs a ces questions. Et un grand merci a castafiore & azev pour m'avoir fait connaître LBE

Modifié par Clara620, 05 Feb 2012 - 17:42.

[sexyback]

Je dirais surtout quand on choisit une application qui est gratuite sur le market, on clique à la va vite télécharger gratuitement => télécharger et installer, sans même regarder les détails des demandes de permission.
Personnellement, je ne suis pas trop applications, j'ai sur mon phone quelques applications très populaires certes mais pour l'instant, je n'ai pas eu de problème.
Mais je vais essayer ce "Doctor Permission" puisque j'ai pas encore fait le pas du root du phone pour l'instant

[scouby999]

bonsoir, c'est clairement un des gros pb d'android, pour ma femme avant de lui installer une appli via le market je regarde toujours les permissions et c'est toujours l'hallu !

elles demandes presque toutes des accès aux contacts même pour des jeux ! ou accès aux appels

bref jamais vu ce genre de pb sur symbian ! pour Ios je sais pas comment ça se passe mais le store apple a l'air mieux controler par apple, et enfin pour windows market idem je sais pas comment ils font

[castafiore]

C'est vrai que ces permissions d'accès aux contacts et aux appels ne sont pas toujours logiques (et donc suspectes). Personnellement, je les bloque presque systématiquement. Un exemple: Barcode scanner.
Ca reste quand même plutôt l'exception, non?

En règle générale, lorsqu'une application inclut des permissions d'appels ou d'envois de sms, c'est dans le but de remplir des fonctions particulières. Par exemple, pour une application de rappels d'anniversaires, on trouve souvent ces fonctions d'envois automatiques de mails ou de sms destinées à l'envoi de félicitations. Ce type d'application a aussi besoin d'accéder aux contacts, évidemment.

C'est finalement plutôt paradoxal, je trouve, que Google propose un système très ouvert et qui laisse beaucoup de libertés aux utilisateurs de personnalisation de leur ROM et, qu'en même temps, il ne laisse que très peu de moyens de contrôler l'installation des applications et, surtout, de contrôler les permissions incluses dans ces applications.
.
Avec Android, Google a choisi de laisser une très grande liberté de conception aux développeurs, peut-être pour obtenir dans un laps de temps très court un Market bien étoffé. Cette course contre la montre pour rattraper son principal rival, Apple s'est sans doute faite au détrimens de certaines précautions...

[scouby999]

tiens tant qu on est la dessus, je voulais installer ce jeu sur le tel de ma femme :

bubble blast valentine

niveau autorisation :

APPELS TÉLÉPHONIQUES
LIRE L'ÉTAT ET L'IDENTITÉ DU TÉLÉPHONE
Permet à l'application d'accéder aux fonctionnalités d'appel du téléphone. L'application peut alors déterminer le numéro de téléphone et le numéro de série de l'appareil, savoir si un appel est en cours, identifier le numéro associé à cet appel, etc.

c'est quand même hallucinant ça non ?

vous en pensez quoi ?

[Marcduquatrevingtun]

Je n'installerai pas, je ne vois pas pourquoi il aurait besoin de ça ...

[Clara620]

Pour ma part j'ai fait un vrai ménage dans les autorisations demandées par les applications depuis que j'ai installé LBE, c'est radical. Avant, j'hésitais même a faire les mises a jour pour ne pas avoir a donner ces nouvelles autorisations dont l'utilité reste encore a trouver...

[Marcduquatrevingtun]

C'est bien gentil LBE, mais il demande les mêmes droits d'accès que les softs qu'il bloque ... Donc à éviter aussi

[Caelle]

Moi, je me méfie surtout des app susceptibles de faire de la surfacturation: les autorisations d'envois sms et émission d'appels.

LIRE L'ÉTAT ET L'IDENTITÉ DU TÉLÉPHONE

Autorisation "classique" de beaucoup, beaucoup d'app sur android market !


Apple ? ben tu ne sais pas quelles sont les autorisations données. Tu DOIS faire confiance à Apple. Tant que pas de surfacturation, tu ne te rends compte de rien. Traduction pour le tout public: il n'y a pas de problème de collecte de données sur iOS = système super fiable et blindé
Windows doit avoir plus ou moins les mêmes pratiques, MAIS, vu les API rendues exploitables pour le moment... ça doit être compliqué pour les dev de rajouter des autorisations à la con ! :

[castafiore]

Je soupçonne fort aussi des ententes entre Apple, Microsoft, Google et les autorités américaines...
La généralisation mondiale des téléphones portables et la nécessité absolue de les utiliser dans des activités comme la criminalité organisée ou le terrorisme, a pu amener les services de sécurité d'Etat à s'entendre avec les concepteurs d'O.S., à y ménager un certain nombre de failles, de façon à permettre la surveillance de ces activités criminelles et à mieux lutter contre elles.

Ce qui est visible sur Android l'est moins sur les iPhone et les Windows phone parce que leurs O.S. sont moins faciles à éplucher par des utilisateurs ordinaires mais je doute qu'ils soient exempts de ce type de "failles".
Obama qui, parait-il, adorait son BlackBerry a reçu ordre de ses services de protection de s'en séparer dès qu'il est arrivé au pouvoir.
Le cryptage des messages des BB passe, en effet, par des serveurs américains ou canadiens. On peut donc se demander s'ils ne sont pas, eux aussi, susceptibles d'être sous surveillance.

Quant à l'envoi automatique de sms surtaxés, on est dans un tout autre registre, celui de l'escroquerie et, là, Google ferait bien de réagir rapidement pour y mettre bon ordre.

[Azev]

C'est bien gentil LBE, mais il demande les mêmes droits d'accès que les softs qu'il bloque ... Donc à éviter aussi

Oui lire l'état IMEI et IMSI, où est le danger de facturation? Tu vois une autorisation d'appel ou de SMS? Même Angry Birds lit l'état IMEI et IMSI...

[Marcduquatrevingtun]

Salut, l'IMEI c'est comme si on utilisait ta carte d'identité . Non merci ... Après chacun prend des risques avec les conséquences que l'on connait ...

Modifié par Marcduquatrevingtun, 13 Feb 2012 - 07:00.

[castafiore]

Marc,

Il y a pas mal d'applications installées sur ton téléphone qui sont susceptibles de lire ton IMEI :

- Market
- Maps
- Contacts
- Email
- Facebook
- Horloge
- Musique

... et j'en oublie sûrement