Certaines applications communiquent avec des centaines de sites externes

Ça n'est pas vrai puisque même sur un appareil rooté, il est possible de refuser des permissions aux applications au cas par cas. De plus, le cas de piratage que tu décris, exploitant une faille de sécurité peut arriver sur un appareil non rooté avec n'importe quelle application. Le root n'est pas un facteur d'augmentation du risque. Au contraire, il est moins intéressant pour les pirates de mettre en place des attaques nécessitant les droits root côté utilisateurs car elles ne toucheraient qu'une minorité de cibles potentielles.

Je ne peux pas être d'accord avec cette affirmation. Les applications qui ont un accès root sont exemptes de demande d'autres permissions. Ainsi tous les utilitaires qui demandent un accès root,, peuvent faire absolument ce qu'ils veulent, y compris partager des données privées ou appeler des numéros surtaxés. Même si l'application tierce est de bonne foi, elle peut avoir une faille qui serait alors exploitée par une autre application malveillante (mais qui elle ne demanderait absolument aucune permission).

Et en général, elles ne demandent pas de connaître le numéro de téléphone. Elles demandent READ_PHONE_STATE. Alors oui, cela donne accès au numéro de téléphone. Mais c'est en général utilisé pour avoir un identifiant unique d'appareil, et donc faciliter le suivi d'utilisateurs. http://stackoverflow.com/questions/2785485/is-there-a-unique-android-device-id/2853253#2853253 Maintenant, je suis d'accord, il aurait fallu découpler cette permission ; ou mieux le framework aurait dû offrir un identifiant unique lui-même sans permission. Malheureusement, ce n'est pas le cas.

Je ne vois pas comment on peut simplement demander à l'utilisateur de se connecter à certains sites web (pour sauvegarder la partie?), à d'autres (pour afficher des pubs?) ou encore à d'autres (pour tracker l'utilisation?). Je pense que l'accès internet restera tout ou rien pour un bon moment. Les autorisations iOS sont plus fines, et c'est très bien, mais ça ne résout pas le problème du trackage.

Les milliards d'utilisateurs de PC (Windows/Mac/Linux) sont root/Administrateur et ça ne dérange personne ... mais c'est aussi la raison pour laquelle il y a plus de virus/malware sur PC que sur smartphone/tablette où le compte root/Administrateur n'est pas activé par défaut.

Seulement une infime partie des permissions Android existent et sont optionnelles sur iOS (par exemple, toutes les apps iOS ont accès à Internet par défaut). Les apps qui demandes de connaitre ton numéro de téléphone sont assez rare, sur Android comme iOS. Peut-être que le fait que iOS donne de temps à autre le choix à l'utilisateur d'accorder certaines permissions ou pas à une app donne l'impression à l'utilisateur qu'il est 100% en contrôle, mais c'est juste une impression.

Dela pub? Hop adaway jen ai plus. On peux virer la pub sur ios et windows phone? Bon apres pour le reste cest bien pourri ouai, un gestionnaire de permissions est obligatoire sur android je trouve

oui je suis d'accord avec toi, ça fait d'ailleurs longtemps que j'évoque les points que tu soulèves. En attendant d'avoir une vraie gestion native des autorisations sous android, je fais comme ça.

bienvenue sur android les nazes ... plein de pub , plein de virus , plein de lague ... OS pseudo libre de pseudo geek

Ce n'est pas normal d'avoir à faire quelque démarche de demander pourquoi telle appli a besoin inconditionnellement d'une autorisation. On doit pouvoir avoir le choix d'autoriser ou non tel accès (non vital au bon fonctionnement de l'appli) avant l'install.

Un appareil rooté n'est en rien plus exposé qu'un appareil qui ne l'est pas. Les droits root sont accordés par l'utilisateur aux applications et peuvent être temporaires et sont dans tous les cas révocables. C'est une double sécurité pour la gestion des permissions dans le cas d'App Ops.

XPrivacy<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>

On n'est pas non plus obligé de passer d'un extrême à l'autre. Passer en mode root est une geekerie qui n'est pas sans risque, et tous les experts en sécurité déconseillent d'en passer par là. Là, on est coincé entre ne pas pouvoir gérer finement les autorisations et prendre le risque de se faire syphonner ses données personnelles, et devoir rooter son smartphone ce qui constitue tout autant une prise de risques. Et on parle de terminaux qui sont de plus en plus sollicités pour des opérations sensibles, c'est vraiment craignos? et si rien ne change ce sera de plus en plus un boulevard pour les terminaux iOS. Bref, pouvoir gérer plus finement les autorisations sans devoir passer par le mode root, ce n'est tout de même pas une demande extraordinaire.

Passer root, ce n'est pas du bricolage. Ca correspond à une commande sudo su dans n'importe quel système Linux. Si on ne veut pas de ce niveau de contrôle sur sa machine on reste sur un OS fermé comme iOS et on évite de venir faire son malin en disant qu'il n'y a soit pas assez de liberté, soit trop de façon totalement malhonnête.

erratum: gérer les autorisations (pas les applications).

je comprends pas pourquoi il n'y as pas de gestionnaire de permissions par défaut sur les téléphones.<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>

Si je ne dis pas de bêtise, AppOps permettait de gérer un menu caché sous Android 4.3, menu qui permettait de contrôler plus finement les applications. Et ce que je lis sur internet indique qu'il faut être en root, ce qui n'est pas anodin. On devrait pouvoir gérer les applications sans devoir en passer par un tel bricolage. :)

Ça dépend sur quelle version d'Android est l'appareil. App Ops est même intégré à certaines ROM.

Sans root ?

Un OS, ça sert à démarrer et éteindre un appareil. Tout le reste peut être ajouté par des développeurs tiers. En l'occurrence l'application AppOpps permet de faire sur Android ce que tu réclames.

c'est possible,je ne l'ai jamais essayé sur un phone non rooté,donc je ne peux pas te le confirmer. il doit surement y avoir moyen de faire ça sans root, ou avec un root temporaire

C'est tout à fait possible avec AppOpps.

Cela n'explique ni ne justifie toujours pas ce principe du tout ou rien. A un moment, sur Android 4.3 il me semble, il y avait un menu caché que l'on pouvait activer pour gérer plus finement les autorisations. Google est visiblement revenu en arrière depuis, et c'est bien dommage.

Oui je connais c'est le principe dans sandbox pour les applis, elle ne peuvent accéder qu'a leur propre ressources mais c'est cette différenciation qui fait que l'on peut faire plus de chose sur android justement. Et pour ne pas laisser les applis faire ce qu'elle veulent dans le téléphone sans le consentement de l'utilisateur, Google a mis en place le principe d'autorisations mais personne ne les lis. C'est rare que je vois le commentaire d'une appli se plaindre du nombre d'autorisation mais parfois ça marche et les developpeurs font tout pour eviter cela

"Le seul bémol à l’élaboration de cette étude, c’est qu’elle a été effectuée avec un Samsung Galaxy S3 encore installé sous Android 4.1.2 Jelly Bean. Et il fort probable que les résultats soient différents si on effectue les tests sur une version bien plus récente du système d’exploitation de Google." En quoi la version de l'OS a la moindre influence sur ce point ? Je veux dire, faire une requête vers un site web, Android sait faire depuis longtemps, non ?

Et pourtant c'est un système qui fonctionne très bien sur iOS, même avec des applications gratuites qui vivent de la publicité.

Il ne s'agit de bloquer l'accès à internet, mais de bloquer l'accès à certaines partie du smartphone ou à certains dossiers. C'est un mécanisme qui marche très bien sur iOS, même avec des applications gratuites qui vivent de la publicité.

brichmarsa je crois que tu n'a rien compris aux fonctionnement des autorisations...

Oui je comprends mais on peut pas bloquer l'envoie de données si on ne peut pas les différencier. Soit tu bloque complètement internet pour l'appli mais dans ce cas le développeur ne gagne pas d'argent, soit tu laisse mais tu ne sais pas ce qui est fait avec tes données personnel. La solution serait de permettre d'acheter les applis ou d'en offrir une version premium pour qui ne veut pas que l'on exploite ses données

Je comprend bien mais si on donne la possibilité de choisir les autorisations, il y a beaucoup de gens qui vont bloquer l’accès à internet pour ne plus avoir de pub et donc ça va pousser les développeurs à forcer leur appli à toujours être connecter pour X raisons. Il faudrait plutôt responsabiliser les gens sur l'utilisation de leur données personnel et du pourquoi il faut faire attention, mais comment faire quand même les gros de l’industrie (facebook, candy crush, etc) demande un lot indécent d'authorisations?

Je ne vois pas pourquoi, par exemple, une application me demande notamment de connaitre mon numéro de téléphone, donc oui accepter ou refuser des autorisations peut changer du tout au tout. Je constate d'ailleurs que les développeurs qui proposent leurs applications sur Android et sur iOS prennent beaucoup plus de liberté avec leur version Android qu'avec leur version iOS. Ce n'est pas que je veuille défendre iOS, mais cette possibilité de gérer plus finement les autorisations fait quand même partie des qualités de l'OS d'Apple.

pierre a pas tort, je n'utilise pas l'application Allociné, mais comme tout les sites du genre il y a la possibilité de poster des commentaires ou d'accéder aux forums, et du coup pour l'upload d'avatar mais aussi d'image l'application a besoin d'avoir accès à la galerie, si cette fonction n'est pas mise en place il ne sera pas possible d'accéder à la galerie pour uploader une image. La formulation des droits n'est pas très bonne également, car l'application ne va pas forcément accéder au photo, mais c'est avoir la possibilité de naviguer dans ses photos pour en uploader, sans ça il n'y a pas de navigation possible dans la galerie. Donc c'est sur que pour certains se n'est pas utile, mais si ça a été mis en place c'est que pour certains c'est utile.

Je ne comprends pas le dernier paragraphe. En quoi une version plus récente d android limite les risques ? Cela aurait été plus intéressant de détailler. De même, vérifier les autorisations n'a aucun influence par rapport à l'article. Une application ayant accès à Internet se connectera à 1 ou 500 sites sans que l'on ne puisse faire quoi que ce soit (sauf installer un bloqueur de publicité)

Les apps les plus rentables sur Google Play utilisent plusieurs SDK d'analyse de l'usage (comme Google Analytics) et plusieurs SDK de pubs (comme Google AdMob). C'est le "prix" à payer pour avoir des apps et services "gratuits".

Seule l'autorisation Internet est nécessaire pour se connecter à tout l'Internet. En bref, soit tu fais confiance au développeur, soit tu ne lui fait pas confiance mais accepter ou refuser certaines autorisations ne changera rien.

Je faisais surtout allusion à la dernière phrase de l'article. Certaines applications demandent beaucoup trop d'autorisations, et notamment des autorisations dont on peut avoir beaucoup de mal à trouver ce qui les justifient. Et si tu ne les autorises pas toutes, ben tu ne peux pas installer l'application. Avoir un peu de pub, OK à la rigueur c'est un moyen de financement que l'on peut accepter, mais se faire pomper ses données personnelles non merci.

Oui mais il faut être root non ?

Il faut écrire au développeur qu'il te donne des explications. Moi je fais comme ça et selon la réponse, j'installe ou non.

Si une application dont tu consultes les données contenues sur un serveur, et qui n'a donc en principe besoin de ne rien uploader vers ton téléphone, a besoin d’accéder à tous les fichiers de ton smartphone ne te choque pas, je ne peux rien faire pour toi. Concernant l'avatar, même chose, tu es censé le sélectionner, pas laisser l'appli le faire pour toi. Après chacun place la protection de sa vie privée ou il veut, mais en acceptant d'ors et déjà tout et n'importe quoi, la limite sera d'autant plus difficile à fixer dans le futur.

Il y a une différence entre avoir un peu de pub pour pouvoir jouer à un jeu gratuitement et toutes ces intrusions dont cet article fait débat. <i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>

Et tu t'es pas dit que cette autorisation servait par exemple a uploader un avatar? Je viens de verrifier les autorisation de Allociné, vue se que fait l'app, il n'y a rien de choquant...

il existe plein de programmes permettant de gérer les permissions des applications comme advance permission manager

C'est quand j'ai vu le nombre de nouvelles autorisations que demandait la mise à jour de l'appli Allociné (Il faudrait qu'on m'explique en quoi les photos contenues dans mon smartphone on un rapport avec les horaires d'un film que je souhaiterais voir...) que j'ai décidé de la désinstaller totalement. Soit les devs vont à la facilité, et ils devraient être un peu plus sérieux, soit il faudrait définir un synonyme d'abuser, spécifique au web.

Comme ça tu profite des apps sont en authoriser les pubs c'est bien ça? Si c'est le cas, c'est impossible que ce soit mis en place

Wow, cette etude nous apprend que les webapps des sites internet font appel aux regies publicitaires pour afficher leurs pubs ? INCROYABLE ! ON EST FOUTU !! DES MALWARES PARTOUT ! IOS S MIEUH LOL !

Il faudra bien que l'on en arrive à mettre un terme à cette fâcheuse plaisanterie avec cette politique du tout ou rien (en clair, soit on accepte toutes les autorisations même les plus intrusives, soit on doit renoncer à installer l'application), et que l'on puisse gérer plus finement les autorisations comme c'est le cas sur iOS.