J.air Posté(e) le 4 décembre 2009 Partager Posté(e) le 4 décembre 2009 Un développeur Suisse a démontré qu'il est possible, et ceci sans utiliser d'API spéciales, sur des iPhones non jailbreakés, de récupérer un nombre inquiétant de données personnelles sur les propriétaires de l'appareil. Effectivement, lors de ses multiples développements sur la plateforme mobile de la célèbre marque à la pomme, le développeur en question a remarqué qu'un grand nombre d'informations personnelles sont accessible par n'importe quelle application lambda installée sur le téléphone. Une liste non exhaustive de ces informations est présentée ci-dessous : - La liste de tous les contacts du carnet d'adresse - Cache du clavier - Comptes e-mails - Endroits visités (grâce à la géolocalisation) - .... Le grand problème est que via les API disponibles, sans passer par des fonctions cachées de l'appareil, toutes ces informations peuvent être transmises à un serveur distant, sans que l'utilisateur soit au courant. L'utilisateur pensera avoir téléchargé un casse-brique, et lorsqu'il jouera avec ce dernier toutes ses informations personnelles seront transmises. C'est assez inquiétant... Le document en question est disponible à cette adresse : http://seriot.ch/resources/talks_papers/iPhonePrivacy.pdf Lien vers le commentaire Partager sur d’autres sites More sharing options...
Lilo27 Posté(e) le 4 décembre 2009 Partager Posté(e) le 4 décembre 2009 Je déplace en section Apple. Lien vers le commentaire Partager sur d’autres sites More sharing options...
CaseyN Posté(e) le 5 décembre 2009 Partager Posté(e) le 5 décembre 2009 Et il en est exactement la même chose avec les applis de bureau, a partir du moment où tu installe une application sur un système, celle ci a des accès a différentes choses en fonction des API qu'elle utilise. C'est comme le cas du jeu/virus/cheval de Troie qui supprime des fichiers de l'utilisateur... oui car elle a les accès en écriture comme toutes les applis sur certains fichiers (sinon on ne pourrait pas sauvegarder). Ce qui peut être inquiétant, c'est si un jeu par exemple se met à récupérer les numéros de téléphones alors qu'il n'en a pas besoin. Sinon c'est "normal" que l'appli ait des accès, ensuite que cela soit envoyé a un serveur tiers l'est moins, mais cela dépend aussi du contexte. Le BBM sur les Blackberry se base sur les numéros de téléphones des gens. Une version iPhone est sortie, elle demande d'envoyer les numéros sur le serveur pour savoir si certains contacts utilisent déjà cette appli... Ca fait peur, mais c'est comme cela qu'elle fonctionne. Lien vers le commentaire Partager sur d’autres sites More sharing options...
falou Posté(e) le 6 décembre 2009 Partager Posté(e) le 6 décembre 2009 C'est la principale raison de filtrage de l'app store, en dehors de la "déontologie" maison. Mais encore une fois comme le rappel CaseyN, ce n'est ni nouveau ni anormal, ce n'est pas une faille de sécurité. Le problème, c'est que depuis que le monde est monde, on n'a pas encore trouvé moyen d'empêcher la malveillance. Sinon il faut en revenir à la version V1 où on ne pouvait rien installer. Le cas Aurora Feint a tout de même presque un an et demi, depuis, tout le monde sait à quoi s'en tenir (ou le devrait). Bref rien de neuf, si ce n'est un petit coup de promotion pour un CV? Lien vers le commentaire Partager sur d’autres sites More sharing options...
J.air Posté(e) le 7 décembre 2009 Auteur Partager Posté(e) le 7 décembre 2009 C'est effectivement le comportement normal sur un ordinateur standard... Sauf que l'iPhone possède un système de "sandbox" qui est censé empêcher cela, comme c'est le cas sur d'autres téléphones mobiles (le n97 de nokia par exemple). Le problème est que cette sandbox est justement contournable... Alors désolé CaseyN et falou, c'est effectivement un problème de sécurité et ce n'est pas un comportement normal. Lien vers le commentaire Partager sur d’autres sites More sharing options...
CaseyN Posté(e) le 7 décembre 2009 Partager Posté(e) le 7 décembre 2009 Le principe de la SandBox est d'éviter un acces aux données non voulues, là ils utilisent les API pour y accèder a travers la SandBox, donc le problème est plus que l'appli utilise + d'API qu'il lui en faut pour accéder a des choses dont elle n'a pas besoin, qu'un problème de sécurité... et ça la validation de l'App Store devrait limiter ce genre d'applis. Car sinon comment veux-tu que les applis puissent interagir avec le contenu si on ne leur donne pas un accès a un moment... donc pour moi toujours pas de problème de sécurité, mais de mentalité. Lien vers le commentaire Partager sur d’autres sites More sharing options...
falou Posté(e) le 8 décembre 2009 Partager Posté(e) le 8 décembre 2009 Alors désolé CaseyN et falou, c'est effectivement un problème de sécurité et ce n'est pas un comportement normal. Si je comprends bien chaque fois qu'on utilise un logiciel de traitement de photo par exemple, il faudrait que l'OS demande l'autorisation pour accéder aux photos? Hum, je ne connais rien qui fonctionne comme ça. Lien vers le commentaire Partager sur d’autres sites More sharing options...
CaseyN Posté(e) le 9 décembre 2009 Partager Posté(e) le 9 décembre 2009 Alors désolé CaseyN et falou, c'est effectivement un problème de sécurité et ce n'est pas un comportement normal. Si je comprends bien chaque fois qu'on utilise un logiciel de traitement de photo par exemple, il faudrait que l'OS demande l'autorisation pour accéder aux photos? Hum, je ne connais rien qui fonctionne comme ça. C'est dit beaucoup plus clairement que moi, merci ^^ Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amnesiac Posté(e) le 10 décembre 2009 Partager Posté(e) le 10 décembre 2009 Comment crier au loup pour pas grand chose. Lien vers le commentaire Partager sur d’autres sites More sharing options...
CaseyN Posté(e) le 10 décembre 2009 Partager Posté(e) le 10 décembre 2009 Cela se nomme manquer d'informations et/ou de recul sur les faits... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.