Tout cela grâce à la dernière mise à jour du Play Store et à son interface simplifiée d'autorisation des applications. L'idée centrale ici - rendre les autorisations des applications Android compréhensibles pour les utilisateurs normaux - est bonne. La mise en œuvre est le gros problème.
Les applications peuvent maintenant ajouter des autorisations sans vous demander
Google Play regroupe désormais les autorisations d'application dans des groupes d'autorisations associées. Par exemple, une application qui souhaite lire vos messages SMS entrants nécessite l'autorisation «Lire les messages SMS». Lorsque vous l'installez via le Play Store, vous le verrez vous demandant le groupe d'autorisations «SMS».
Installez l'application et vous lui donnez accès à toutes les autorisations liées à SMS. L'application peut maintenant automatiquement mettre à jour et gagner la possibilité d'envoyer des messages SMS sans vous demander.
Avez-vous des applications sur votre appareil en lesquelles vous avez confiance pour lire des SMS, mais ne pas les envoyer? Ces applications peuvent désormais avoir la possibilité d'envoyer des messages SMS sans vous y inviter. Tout ce que le développeur doit faire, c'est mettre à jour l'application.
Le seul moyen d'éviter cela est de désactiver les mises à jour automatiques et de vérifier manuellement les autorisations des applications chaque fois qu'une application souhaite se mettre à jour, comme si c'était une solution raisonnable! Si vous procédez ainsi, vous utiliserez également des versions obsolètes d’apps, ce qui constitue un autre problème de sécurité.
Les groupes d'autorisations contiennent à la fois des autorisations sûres et dangereuses
Le gros problème est que les groupes peuvent contenir à la fois des autorisations de base normales et des autorisations plus dangereuses. Par exemple:
- Emplacement: Une application qui vous demande votre position approximative sur le réseau peut désormais obtenir la permission de suivre votre position exacte avec le GPS de votre appareil.
- SMS: Une application qui n'a besoin que de recevoir des messages texte peut désormais obtenir l'autorisation d'envoyer des SMS en arrière-plan, ce qui peut vous coûter cher.
- Téléphone: Une application qui demande à lire votre journal d'appels peut désormais obtenir l'autorisation de rediriger les appels sortants et de passer des appels téléphoniques sans vous le demander.
- Photos / Médias / Fichiers: Une application qui doit lire le contenu de votre stockage USB ou de votre carte SD peut désormais formater l’ensemble de votre périphérique de stockage externe.
- Caméra / Microphone: Une application autorisée à prendre des photos et des vidéos (par exemple, une application appareil photo) peut désormais obtenir l'autorisation d'enregistrer de l'audio. L’application peut vous écouter lorsque vous utilisez d’autres applications ou lorsque l’écran de votre appareil est éteint.
Il vous sera demandé de confirmer quand une application nécessite un nouveau groupe d'autorisations. Si vous avez déjà accordé l'accès à une seule autorisation d'un groupe, tous les paris sont désactivés et l'application peut obtenir toutes les autorisations de ce groupe.
D'énormes quantités d'applications Android demandent déjà plus d'autorisations que nécessaire, et maintenant, ces applications disposent de davantage d'autorisations dont elles n'ont pas besoin!
Chaque application obtient un accès Internet
Google a également donné à chaque application un accès Internet, supprimant ainsi l'autorisation d'accès à Internet. Oh, bien sûr, les développeurs Android doivent encore déclarer vouloir accéder à Internet lors de la création de l'application. Mais les utilisateurs ne peuvent plus voir l'autorisation d'accès Internet lors de l'installation d'une application et les applications actuelles qui n'ont pas accès à Internet peuvent désormais obtenir un accès à Internet avec une mise à jour automatique sans vous y inviter.
Bien sûr, la plupart des applications ont besoin d'un accès Internet ces jours-ci, mais pas toutes. Vous pouvez utiliser un fond d’écran, une lampe de poche ou un clavier sans avoir à lui donner accès à Internet. En fait, l’une des fonctionnalités de sécurité pour les claviers tiers dans iOS 8 d’Apple est que ces claviers ne peuvent pas accéder à Internet à moins d’y être expressément autorisé. Tous les claviers sur Android peuvent maintenant accéder à Internet.
Les autorisations pour les applications Android étaient toujours brisées
Le système de permission de l'application Android était déjà brisé. C’est moins un système de permission que de demande. Une application exige certaines fonctionnalités et vous pouvez la prendre ou la laisser. Vous ne pouvez pas choisir d’accorder des autorisations à une application, mais pas les autres. Android possédait en fait un gestionnaire de permissions intégré sur lequel on travaillait, mais Google l'a supprimé. Désormais, seules les personnes qui rootent leurs appareils et utilisent Xposed Framework pour retrouver la fonctionnalité Ops App ou installer des ROM personnalisées telles que CyanogenMod peuvent gérer les autorisations des applications. Les utilisateurs typiques d'Android sont impuissants.
Une grande partie du système de permission des applications Android vient de perdre tout son sens. Pourquoi se donner la peine d’avoir un système d’autorisations à la fine pointe de la technologie dans lequel les développeurs doivent demander un accès à Internet et à des autorisations individuelles, telles que «lire des messages SMS»? Il se peut tout aussi bien que Google rétablisse entièrement les autorisations pour les applications Android et demande aux applications d'accéder à des groupes de permissions. Au moins, ils ne nous donneraient pas un faux sentiment de sécurité!
Non, ce n’est pas un assaut sur Android de la part d’un fanboy d’Apple. J'adore Android et j'utilise un Nexus 4 comme smartphone, mais je crois qu'il faut donner du pouvoir aux utilisateurs. Les utilisateurs d'Android devraient pouvoir choisir les applications pouvant envoyer des messages SMS ou indiquer si les applications de l'appareil photo peuvent enregistrer de l'audio.Désormais, non seulement nous ne pouvons pas contrôler les autorisations sans enraciner ou installer une ROM personnalisée, mais le nouveau système d’autorisation nous donne encore moins d’énergie.
Merci à iamtubeman de Reddit pour avoir exploré cet important problème et l'avoir testé. L’explication de Google concernant les nouvelles autorisations d’application simplifiées d’Android est disponible ici.
