Les malwares sous Android

« Un nouveau malware pour Android un peu trop curieux » titrait Clubic hier soir.
C’est le vers DreamDroid qui ferait des ravages ces derniers temps en enregistrant l’intégralité des conversations.

Des occasions comme celle-ci se manifestant d’en plus en plus souvent comme le montre Cnet via la graphique ci dessous. A ces occasions, il y a toujours une personne pour lancer un petit « ah ça avec mon iPhone, y a pas de problèmes avec le contrôle d’Apple ». Essayons de répondre à ce troll de façon intelligente.

Credit Lookout

Quel est le type de menaces que l’on peut rencontrer ?
Il y a d’abord le pishing qui vise de façon indifférente toutes les plateformes. Facile à éviter, il suffit de se souvenir où se trouve son cerveau avant de cliquer comme un fou sur tout ce qui bouge ou répondre à ce brave Nigérien voulant nous léger sa fortune. Derrière ce coté caricatural on a aussi du pishing plus subtile comme un site se faisant passer pour gmail. La barre d’adresse étant minimisée par défaut sous Android, pensez à la vérifier quand vous devrez indiquer une information sensible.

Nous avons ensuite, les applications abusant des permissions requises pour voler des informations. Là encore une fois, il suffit en général de réfléchir un peu.
Pour chaque application, une série de permissions est requise pour délimiter à quoi celle-ci a accès. Techpp passe en revue la liste des permissions. Lorsque l’on nous indique la liste des permissions à accorder, tournez 3 fois votre téléphone dans votre bouche avant d’accepter. Est-ce que CHAQUE permission est justifiée ? Pourquoi cette application a-elle besoin de lire le contenu de ma carte SD ? De connaitre votre position géographique ? Si vous avez un doute, n’installez pas l’application à moins d’être sûr qu’elle soit légitime (l’avoir trouvée en cherchant « best FPS android » dans Google n’en fait pas une légitime).
Un problème avec les permissions est que certaines ne sont pas très précises. Par exemple il est légitime qu’une application sache si vous recevez un appel (elle se met en pause) mais le problème est qu’elle connait ainsi l’identité du contact par la même occasion. Il est normal que l’application stocke ses données sur la carte SD mais par cela elle a accès également à toutes les autres données stockées dessus. Elle pourrait tout effacer ou récupérer les mots de passes stockés en clair. Vraiment, je trouve qu’il faudrait affiner ce système de permission mais avec un peu de jugeote vous pouvez éviter facilement le pire. Si vous avez un doute, vous pouvez également envoyer un email au développeur pour lui demander de se justifier.

Des applications comme celles-ci se glisse parfois dans l’Android Market qui, contrairement à Apple, ne contrôle pas le contenu de l’application. C’est certes moins sécurisé mais le contrôle stricte me fait fort penser aux totalitaires qui imposent des choses contraignantes « pour votre sécurité », c’est comme ça qu’on justifie toutes les infractions à la vie privée ou liberté d’expression au passage. Je me considère assez intelligent pour choisir moi même les applications que je veux et j’en ai assez de cette pensée pré-mâchée.

Après il y a aussi le problème des applications venant de l’extérieur du Market. A la vente de chaque application, Google prend une part de 30% comme Apple. Ça fait cher je trouve, mais au moins, il ne nous oblige pas à l’utiliser. Dans les options, vous pouvez spécifier que vous acceptez les sources externes.
Aller rechercher l’apk de la dernière version d’un logiciel sur github n’est pas très risqué mais assurez vous d’activer l’option uniquement quand vous en avez besoin. Certains malwares peuvent se faire passer pour l’Android Market et vous infecter, mais ils seront toujours considérés comme une source externe et donc bloqué.
Vous avez repéré une application gratuite sur un market externe alors qu’elle est payante sur l’android market ? Il y a surement une raison : elle est piratée. Par respect du développeur, évitez au maximum, 2€ n’est pas la mort pour une application. Je déconseille grandement mais si vraiment vous ne voulez pas payer, considérez à 2 fois les permissions. Si l’application d’origine ne faisait en effet que stocker des données de sauvegarde sur la carte SD, rien ne le garantit pour la version pirate. Privilégiez les applications open source et lisez bien les commentaires des gens. Soyez bon joueur, participez au système et laissez un commentaire quand vous êtes satisfait ou non de l’application. N’hésitez pas à contacter le développeur plutôt que le descendre en cas de bug.

Il existe aussi les malwares utilisant des failles dans le système. N’oubliez pas de bien mettre à jour vos applications et surtout le système de votre téléphone. Vous avez un mauvais constructeur qui ne met pas à jour votre android ? Après lui avoir envoyé un étron fumant par la poste, donnez une seconde vie à votre téléphone en installant CyanogenMod. Certains malwares ne touchent que certaines versions et vous serez plus sécurisés avec les dernières.

Comme pour tout, la liberté implique des risques. Si l’on autorise au gens à acheter des couteaux de boucher, il ne faut pas s’étonner que certains les utilisent pour tuer. Cependant, interdire tous les couteaux n’est pas une solution (désolé pour cette métaphore à deux balles).
Le fait de ne pas contraindre les gens à un market est globalement une bonne chose. Sous Windows les gens sont habitués à télécharger des applications à gauche à droite et oui ils ont des virus (tout comme des scripts malicieux sous linux sont possibles). Mais les gens qui réfléchissent un minimum n’ont pas grand chose à craindre. Montrez que vous savez encore réfléchir par vous même et ne vous laissez pas prendre !

Je conseille également la lecture du post de A lost packet qui donne une bonne liste de conseils

3 thoughts on “Les malwares sous Android”

  1. Bonjour,

    Juste une précision : une application n’a pas besoin de savoir que l’on recoit un appel pour se mettre en pause, elle est d’office mise en pause par le système Android, et ce sans nécessité de permission particulière. Après, le framework permet au developpeur de savoir que son application a été mise en pause, afin de faire les actions qui s’imposent.

  2. Ben à la base, tous les systèmes Android vendus pré-installés contiennent une certaine part de logiciels non-libres (grosso modo tout ce qui touche au hardware) donc n’étant pas libres, ils sont des malwares potentiels.
    Et pour l’iPhone, c’est évidemment bien pire, vu que la quasi-totalité du truc n’est pas libre (et qu’Apple est bien connu pour respecter les libertés et la vie privée des ses utilisateurs).

    Donc si on ne veut pas utiliser ces logiciels propriétaires/malwares potentiels, on peut utiliser une version 100% libre d’Android qui tourne sur quelques smartphones: Replicant. Plus d’infos sur http://www.replicant.us/ et un liste de l’état des smartphone supportés: http://trac.osuosl.org/trac/replicant/wiki/ReplicantStatus

    Un niveau supérieur est d’utiliser les outils fournis par « The Guardian Project »: https://guardianproject.info/ pour assurer un meilleur respect de la vie privée sur les plates-formes mobiles et notamment android.

    Et encore, ça n’est qu’un sécurité niveau logiciel, mais le modem est souvent relié à la partie audio ou au GPS au niveau physique, donc on ne peut pas y faire grand chose. Pour plus d’infos, voire les travaux d’Harald Welte (http://gnumonks.org/users/laforge/) et des projets reliées à OsmocomBB (http://bb.osmocom.org/).

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *