Android Market est potentiellement dangereux et révèle une faille de sécurité importante. Tous les possesseurs de Smartphone attendaient le nouvel Android Market.
Il est accessible depuis le web, présente d’une façon plus ergonomique l’ensemble des applications gratuites ou payantes à installer sur votre Android.
Google nous l’annonce sécurisé.
Hum, c’est sans compter sur la tendance actuelle qui consiste à réunir l’ensemble des services et données d’un même compte, et qui démultiplie les failles de sécurité potentielles.
Des données en plus pour big brother
Si votre smartphone est déjà connecté à votre compte Google (gMail), l’accès à l’Android est on ne peut plus simple. Dès la connexion, vous êtes déjà identifié (!). On apprend alors que oui, bien entendu, Google a ajouté dans sa base de données l’ensemble des informations personnelles et actions que vous pouvez faire sur votre téléphone.
En résumé, Google, qui vous connait déjà très largement au travers de vos comptes Gmail, Youtube, Buzz, Analytics et autres, sait également ce que vous faites de vos journées, les applis que vous utilisez, l’opérateur (SFR, Bouygues & co) par qui vous passez, et à quelle date vous utilisez Android.
Comment dites-vous, vous n’aviez pas anticipé le fait que vos actions soient répertoriées et enregistrées par Google… On vous avait pourtant prévenu il y a peu avec Facebook. Adressez vous à la CNIL…
Android Market Web, comment ça marche
Une fois connecté, et pour peu que votre téléphone utilise Gmail et autorise de facto le transfert de données – le cas par défaut – rien de plus simple pour télécharger une nouvelle application. Une fois le programme choisit, un seul clic sur le lien de téléchargement permettra d’uploader les données sur votre téléphone et d’installer l’application. Le transfert de données est immédiat. Ici, nous avons choisit Talk to me classique, qui utilise la reconnaissance vocale.
Côté mobile, l’installation est silencieuse et automatique, et ne requiert aucune autorisation côté mobile. Génial non… Et c’est bien là que çà coince.
Un simple piratage gMail suffit à installer des trojans et uploader vos données personnelles
Côté hackers, la principale difficulté réside dans le fait d’identifier une cible et de lui faire effectuer une action prédéfinie (phishing, clicjacking etc) c’est à dire d’inciter l’utilisateur à cliquer sur un lien ou à rejoindre une page particulière. Dans le cas où sur un marché des éditeurs ou sociétés permettent de cibler des victimes aléatoirement et à grande échelle, le risque est extrêmement important de voir se développer en un temps record des applications malveillantes.
Le piratage de compte ou crackage de mot de passe n’a jamais posé problème, surtout lorsque les cibles se font à l’aveugle, sans qu’une personne particulière ne soit visée. La plupart du temps, les bases sont croisées, sachant statistiquement que l’utilisateur d’un programme a malheureusement de grandes chances d’utiliser le même mot de passe pour d’autres applications.
Les récents hacks de Gawker media ou d’autres bases, qui totalisent ces derniers mois entre 10 et 20 millions de comptes, nous montrent que les mots de passe sont toujours une faille importante et une cible facile.
Les Black hat qui me connaissent savent également à quel point les bases de comptes d’utilisateurs Google Gmail sont accessibles et ne sont pas sécurisées (forum discodog), et peuvent donner lieu à un scan et une identification complète de millions de comptes d’utilisateurs Gmail. Croiser les données personnelles sur le web est devenu excessivement simple. Si vous avez récupéré sur une base le mot de passe de Jean Dupont, l’identifier sur Google est un jeu d’enfant.
Alors où est la faille 
C’est simple. Il suffit pour un hacker d’accéder à votre compte gmail pour pouvoir ensuite uploader sur votre mobile n’importe quelle application contenant un trojan, comme par exemple l’excellent Soundminer, un Trojan qui se loge dans une application vocale sous Android. Utilisant la reconnaissance de son et la reconnaissance vocale, le programme transmet à un serveur tiers les données des numéro de carte bancaire. Celui-ci est tout à fait adapté et pourrait se loger sans problème dans Talk to me que nous venons de télécharger.
Vous ne verrez tout au plus qu’une application supplémentaire parmi les dizaines d’autres que vous aurez testé et téléchargé, et silencieusement, on pourra alors facilement transmettre vos bases, vos données, bancaires par exemple, à un serveur distant, sans même que vous n’ayez eu le temps de le détecter.
Ce mode de fonctionnement n’est pas acceptable sur un marché de dizaines de millions de comptes concernés. C’est un risque excessivement important, et il faut impérativement que Google corrige le tir en proposant à minima l’acceptation préalable du téléchargement de l’application sur votre téléphone, comme vous autoriseriez – ou non – un appareil tiers à se connecter en bluetooth. Une simple fenêtre d’avertissement supplémentaire dédiée sous Android permettrait ainsi de bloquer l’accès au téléphone sans votre consentement.
Si ce n’est pas le cas, nous vous invitons à vérifier 2 choses importantes:
– Soyez certains d’avoir sur Gmail un mot de passe des plus sécurisés, différent en tous points d’autres que vous utilisez.
– Assurez vous, si vous n’utilisez pas Gmail, que votre Smartphone ne soit pas configuré par défaut avec Google.
Faites passer cette info à vos amis ayant un Smartphone sous Android 😉
Faux, on a fumer la moquette. => Complètement PARANO.
1. Youtube : On est tracé uniquement s’il on est connecté avec son compte.
2. Les Analytics : Peuvent facilement être bloqué.(voir FireFox)
3. Si google devaient stocké tous nos faits et gestes, il aurait besoin de beaucoup, beaucoup, beauucouuuup d’espace. C’est en pratique impossible. Et même si s’était possible, il en ferait quoi
de savoir que tu as ouvert x fois tel application, etc…
4. Pour éviter qu’une application ne soit automatiquement uploader sur le smartphone, il suffit de désactiver “Données d’arrère-plan” dans le menu “Comptes et synchro”.
5. Les trojans : Il existe de bon anti-virus pour smartphone.
6. Je ne mettrais JAMAIS ma carte VISA dans le Android Market pour acheter un soft de quelques cents. Pour cela, il y a les MasterCard pré-payées.
Il ne faut donc pas devenir parano. A chaque problème et chaque faille il existe une solution. Il est dangereux de vouloir faire peur a tout prix pour le “scoup”.
Les commentaires sont fermés.