Author: 
Eric Selvais

Il est en effet possible d’écouter vos conversations et de prendre des captures de votre écran à votre insu et ce via une application acceptée par le PlayStore de Google.

Mais comment est-ce possible ?

Depuis l’arrivée de Lollipop (5.0) et de son nouveau Framework : MediaProjection. Il s'agit d'un outil qui permet à l’application d’enregistrer de l’audio et de faire des captures d’écrans.
On pourrait se demander quel est l’intérêt de mettre en place une tel boîte de Pandore, la raison en est pourtant simple : permettre de créer un nouveau type d’application. Par exemple, des applications pour les non-voyants qui permettent d’interagir grâce aux commandes vocales ou encore créer une application capable d’envoyer des captures d’écrans vers une télévision.

Le but est tout à fait louable. La mise en place... un peu moins.

Avant Lolippop et l’intégration de ce Framework, ce comportement n’était possible que sur un appareil « Rooter* ». Il n’était possible d’interagir avec ces fonctionnalités qu’avec des privilèges/permissions administrateur.
Privilèges et permissions réservées aux applications développées par Google. Un des piliers des applications Android repose sur ces permissions.

Les permissions

Une permission est une déclaration d’utilisation d’un composant/une fonctionnalité par une application.
Dans les versions Android inférieures à Marshmallow, cette déclaration d’utilisation vous est montrée lors du téléchargement de l’application.
Voici les permissions demandées pour l’application « Google Earth » (application permettant de visualiser notre planète par image satellite).

Pour fonctionner sur votre appareil, « Google Earth » à besoin de 3 permissions.
La permission « Location », permettra par exemple de vous situer pour une expérience d’utilisation encore plus enrichissante.

Dans les versions supérieures ou égales à Marshmallow (6.0), les permissions peuvent être gérées d’une autre manière : via les « Runtimes Permissions ».
Ces permissions ne vous seront demandées que lorsqu’elles seront nécessaires. Donc, si vous ne voulez pas utiliser la fonctionnalité « localise-moi », ce refus ne vous empêchera pas d’utiliser les autres fonctionnalités de l’application.

 

Depuis « lollipop » et  la mise à disposition de ce nouveau framework, enregistrer une capture d’écran ou enregistrer de l’audio est soumis au même principe de demande de permission et intégré au framework lui-même. Les développeurs d’application ne peuvent donc pas empêcher l’apparition d’un message de ce type :

Cette permission étant nécessaire pour utiliser l’application, il suffit de ne pas l’accepter pour empêcher l’enregistrement.

Cependant, une faille permet de remplacer ce message par un message moins inquiétant.

Si vous acceptez ce message, vous donnerez à votre insu les permissions nécessaires aux développeurs malintentionnés et donc la possibilité de collecter des informations pouvant être sensibles.

Quelles solutions ?

Il n’y en a pas.
Les différents constructeurs de smartphones choisissent la version qui leur convient le mieux pour l’appareil. Les constructeurs ont donc aussi la responsabilité de faire une mise à jour ou non.
Résoudre ce problème n'est pas possible, mais le détecter l’est.

Comment le détecter ?

En restant attentif au comportement du système Android et en étant à l’écoute des messages qu’il vous envoie.
Voici une simulation d’une application extrêmement simple de type « HelloWorld »
Cette application a la particularité de ne rien faire, mais nous envoie quand même un avertissement de type Popup.

En appuyant sur « Start Now », vous arrivez à l’écran suivant :

Cette application ne fait absolument rien. Du moins, rien de bien visible...Si vous observez bien cet écran, vous remarquerez une nouvelle icone :

La première icone nous informe que le système est passé dans un mode qui est capable d’enregistrer tout ce qui se passe à l’écran
Dans notre cas d’application, il n’y a pas vraiment de danger. Mais si l’on quitte l’application en pressant sur le bouton Home...

L’application est passée en arrière-plan. Elle continue donc à enregistrer ce qu’il se passe sur votre écran.

Conclusion

Posez-vous toujours la question : dans quel but cette application a-t-elle besoin de mon autorisation pour enregistrer de l’audio ou mon écran ?
Si l’application ciblée est une application comme « Shazam », cela peut paraitre utile d’avoir la possibilité d’enregistrer de l’audio. Si l’application vous permet de faire une liste de course, ça l’est moins. Sauf si cette application permet de dicter la liste de courses.
Il faut donc toujours faire preuve de bon sens et juger de la pertinence d’une permission pour une application et être attentif aux messages que le système vous envoie.

*Rooter : Donner plus de liberté à l’utilisateur sur son téléphone en contournant la plupart des sécurités mise en place nativement dans l’OS en se faisant passer pour un administrateur. Le but est d’arriver à un niveau de personnalisation total de son appareil.

 

 

Newsletter