« Nous désactivons toute application qui s'avèrerait malicieuse pour l'utilisateur »
Répond Google France, suite à l'étude de SMobile Systems sur l'Android Market
Google n'a pas tardé à réagir à l'étude de S-Mobiles qui accusait l'Android Market d'héberger de très nombreuses applications qualifiées de « suspectes » (lire ci-avant).
« Nous souhaiterions clarifier le point de la sécurité des applications proposées dans l'Android Market », nous a demandé Google France par mail.
« Ce rapport suggère que les utilisateurs d'Android ne contrôlent pas la sécurité des applications installées sur leur téléphone Android. Or non seulement chaque application Android requière pour son installation l'accord de l'utilisateur pour accéder à des informations sensibles, mais en plus les développeurs du Market sont aussi soumis à des vérifications sur la facturation de leurs applications afin de confirmer leur identité ».
Voilà qui rassurera les utilisateurs du petit robot vert. D'autant plus que Google France assure également que « nous désactivons toute application qui s'avèrerait malicieuse pour l'utilisateur ».
Mais dans « avérerait », il y a la notion de réaction, et pas de démarche pro-active comme sur l'AppStore ou le futur MarketPlace de Windows Phone 7.
Un choix qui peut parfaitement se justifier (neutralité de Google, rapidité et facilité de soumission, etc.).
Mais un choix qui pose la question de savoir comment ces applications malicieuses sont repérées.
Puisqu'il ne pratique pas de tests de sécurité au moment où le code est soumis à l'Android Market, comment Google sépare-t-il le bon grain de l'ivraie ?
« Les applications malicieuses sont le plus souvent signalées par la communauté d'utilisateurs », admet son porte parole. L'application est alors testée sur le champ et, le cas échéant, retirée.
« Mais nous surveillons également étroitement la plateforme pour chasser toute application frauduleuse ». Cette tâche incombe aux équipes internes en charge du projet Android et de son MarketPlace.
Modération a posteriori contre sélection a priori, à chacun de choisir sa méthode préférée.
Source : Mails de Google France et la rédaction
Et vous ?
Quelle méthode préférez-vous : la modération après validation ou la sélection au moment de la proposition de l'appli ?MAJ de Gordon Fowler
Android Market : 40 % des applications seraient suspectes
Et agiraient comme des spywares, d'après un rapport dont on peut questionner l'indépendance
Apple est critiqué par de nombreux développeurs pour sa politique de validation très stricte des applications pour iPhone, Google a choisi pour sa part une attitude très différente. Les applications de l'Android Market pour son OS mobile ne sont pas filtrées, mais simplement vérifiées.
Il se pourrait bien que, malgré les critiques, ce soit Apple qui ait fait le bon choix.
C'est en tout cas ce que semble laisser entendre un rapport de SMobile Systems, une société spécialisée dans la sécurité des smartphones. Son étude montre en effet qu'une application sur cinq référencée dans l'Android Market donnerait « la permission d'accéder à des données privées ou sensibles qu'un attaquant pourrait utiliser à des fins malicieuses ».
Le « pourrait » est important .Mais le rapport continue. Pire, d'après lui, 5% de la totalité des applications sous Android permettraient de passer des appels sans que le possesseur du smartphone ne le sache. Et 3 % pourraient transformer le téléphone en machine à spams en envoyant des SMS à l'insu de l'utilisateur.
Au total se serait en fait 20.000 applications qui seraient « suspectes » (sur les 48.000 environ de l'Android MarketPlace, soit 41 %).
D'après Dan Hoffman, Responsable de la Technologie chez SMobile Systems, ces applications utilisent la même méthodologie que les spywares en observant les contenus des mails, le carnet d'adresse, la localisation... et même les appels.
La conclusion de cette étude montre qu'une application qui vient d'une galerie connue n'est pas nécessairement sécurisée. Bien au contraire.
Une conclusion sensée. Le manque d'informations sur l'origine des applications est effectivement un problème pour les Marketplace ouverts comme celui de Google. Les développeurs indépendants n'utilisent pas toujours leurs vrais noms (ce qui est compréhensible) et les liens vers les éditeurs ne sont pas toujours présents ou pertinents pour se prémunir de ces menaces.
Pour SMobile Systems, une des solutions possibles est d'utiliser son anti-spyware. Bien sûr.
Alors, étude objective ou nouveau FUD (Fear, Uncertain, Doubt) pour placer sa marchandise ?
Certainement un peu des deux.
Source : Le rapport « SMobile Security Analysis of Over 48,000 Android Market Applications »
Lire aussi :
L'Android Market passe la barre des 50 000 applis, l'AppStore atteindrait les 400 000 à la fin de l'année Steve Jobs dénigre Android en l'accusant d'être un supermarché de la pornographie pour défendre le filtrage contesté des applications de l'AppStore Android continue à progresser face à l'iPhone, malgré l'Android Market ?Les rubriques (actu, forums, tutos) de Développez :
Android Mobile Sécurité Systèmes Développement WebD'après vous ?
Étude objective ou FUD ? 
Envoyé par dams78
, soit c'est Android qui est un nid à spywares malgré son affichage libre et ouvert à tous. 
