Sécurité : un malware pourrait récupérer vos photos [MàJ]

Nicolas Furno |

Suite à la polémique concernant le carnet d'adresses qui peut être un peu trop facilement envoyé sur les serveurs d'un développeur, le New York Times pointe le projecteur sur une autre faille potentielle.

Les applications qui ont besoin d'accéder aux photos stockées sur un terminal iOS doivent demander une autorisation à l'utilisateur. Cette autorisation n'est pas très claire toutefois puisqu'elle concerne la géolocalisation, et non directement les images. Et pour cause, en accédant aux images d'un terminal iOS, l'application accède le plus souvent aux coordonnées géographiques automatiquement associées à ces images au moment de la prise.

Un développeur malintentionné pourrait très bien récupérer ces informations et les exploiter très facilement. Si vous prenez régulièrement des photos, on pourra suivre vos déplacements, vos habitudes et ainsi vous proposer des publicités encore plus ciblées.

Plus gênant, toute application qui a la permission d'accéder à votre position géographique peut accéder également à l'intégralité de votre photothèque. Pour donner un exemple concret, une application de GPS pourrait en théorie télécharger automatiquement toutes vos images, sans jamais vous demander la permission à ce sujet.

Ce comportement est normal, il est prévu par iOS depuis la version 4 et ce n'est pas un problème en soi. Apple est censée vérifier au moment de la validation sur l'App Store qu'une application malintentionnée ne détourne pas ces fonctions de base. C'est bien là que le bat blesse toutefois : l'exemple de Path (Gratuit) suffit à le prouver, il n'est pas difficile de passer entre les mailles du filet de la validation de l'App Store.

En attendant une éventuelle réponse d'Apple, inutile de tomber dans la paranoïa pour autant : rien ne prouve qu'une application dans l'App Store exploite vos images ou position géographiques sans demander votre autorisation.

[MàJ] : Apple n'a pas commenté mais d'après les sources de The Verge, cet accès un peu trop souple aux photos résulte d'un bug qui devrait être corrigé prochainement. Très certainement en même temps que l'ajout, confirmé cette fois par Apple, d'une alerte lorsqu'une application veut accéder au carnet d'adresses.

Sur le même sujet :
- Carnet d'adresses : iOS demandera systématiquement une autorisation

Tags
#validation app store #faille
avatar dagenais17 | 
@Steeve J. daito sort de ce corps!!
avatar dagenais17 | 
LOL
avatar drkiriko | 
@damdam666 : idem
avatar doctormad | 
Sa fait peur ...
avatar Homer Simpson | 
Et pourtant il n'y a que trois mots dans ce commentaire.
avatar dagenais17 | 
c'est vrai :)
avatar Jeje68040 | 
Je désactive tout ce qui est en rapport avec la géo localisation Facebook n'a qu'à bien ce tenir
avatar xtyou | 
Vive Echelon. ^,^ À quand les puces sous cutanés pour le peuple ?
avatar alexandre.rs | 
TOUTES les photos, vous êtes sûrs ? Même celles de ma trilogie 2009-2010-2011 "Petit train au Cap d'Agde" ?
avatar vspatrick | 
@cherbourg : Ouaip, d'ailleurs je trouve que t'avais mieux réussies celles de 2009.
avatar Kevelian | 
Pffff, pour faire du papier y en a qui sont prêt a échafauder toutes les hypothèse les plus débiles. En partant de la on peux tout envisager, y va falloir des forets de Datacenter sur toute la surface des Etats-Unis si y veulent tout stocker. Bien sur faut faire attention, mais de la a tomber dans la parano, y a quand même de la marge. Ou alors on utilise plus de téléphone mobile ou on prend des cartes prépayé a la journée , qu'on paye en cash et qu'on achète a chaque fois dans une ville différente.
avatar Marksanders | 
Il ne faut pas devenir parano non plus. Les apps avaient des droits bien plus illimitées sous Mac Os ou Windows où elles pouvaient faire ce qu'elles voulaient.
avatar valentinnb | 
La guerre entre Apple et NY continue. Je crois que les journalistes de NY Times ne seront pas invités au premier rang le 7 mars.
avatar jimouest2005 | 
@NoxDiurna : C'est une bonne chose pour les utilisateurs de mettre en avant les faiblesses d'iOS.
avatar Tibimac | 
Zut ! Va falloir que je fasse du tri. Mais bon, c'est assez simple, les seules qui peuvent intéresser quelqu'un sont celle où je me roule nu, lascivement, à la tombée du soir, dans le sable des plages bretonnes.
avatar Bryan | 
M'en fous ils peuvent prendre mes photos pour ce que j'ai à l'intérieur...celui qui visionnerait mes photos s'ennuierait à mourir...
avatar dagenais17 | 
ton pseudo l'annonçait clairement: rien à l'intérieur :)
avatar dagenais17 | 
ho hooooo Marc ... tu sors de ton mutisme, cool, tu pourras peut être me répondre sur le fond à quelques questions que je t'avais posé suite à tes attaques. Alors? On est parti pour un vrai débat ou bien tu jettes l'éponge? En resteras tu sur la forme? @grems attention si tu le chatouille de trop il va te demander ton âge... :)
avatar Lebossflo | 
Pouvoir récupérer des photos geotaguer permet 1) de savoir ou se trouve le proprio du téléphone 2) si en plus le proprio du téléphone prend en photo toute sa famille a punta cana ou autre on a l'heure et lieu ou se trouve un ensemble d'individus. Informations qui peuvent paraître futiles mais très recherchées par certaines personnes qui font de la visite à domicile lorsque les proprios sont absents. C'est pourquoi il est déconseillé de se faire géolocaliser sur des sites sociaux type facebook. Pourquoi ai je l'impression que ceux qui pensent qu’accéder à leurs photos n'est pas un soucis car ils n'ont rien à cacher vont aussi soutenir qu'il n'y a rien à voler chez eux? :-)))
avatar Lou117 | 
J'adore la réaction de certains qui minimisent le problème... Et dans le même temps vont accuser d'autres (android par exemple) de tout les maux sur des problématiques parfois bien plus anodines... En soit c'est ici un véritable problème de sécurité, une jolie faille. Apple a intérêt à corriger ça, point.
avatar Tibimac | 
Non, la vie de la plupart des gens n'est pas comme la tienne, tellement vide qu'elle tourne autour de 2 OS...
avatar mac-fan | 
Moi je refuse l'accès à la géo localisation sauf pour les deux ou trois applis qui en ont vraiment besoin et tant que j'y suis aucun push, je n'ai pas envie qu'on me push dans le dos pendant mon sommeil. ;-)
avatar Lebossflo | 
@Steeve.J Par opposition a ceux qui veulent rester dans les bonnes grâces d'Apple doivent faire les leche-bottes je présume.
avatar dagenais17 | 
et donc si le NYT n'avait pas été viré de la liste blanche, il y aurait quoi comme excuse (pour Apple)?

CONNEXION UTILISATEUR