Commentaires : Android : un malware infecte 17 applications, désormais supprimées du Play Store par Google

Bombing Basta a dit « Si je ne m’abuse, /e/ ça reste androïd.
Donc encore et toujours à la merci de Google. »

Non, pour créer Android, Google a utilisé Linux, et le code source d’android est donc libre et ouvert. Android est assez clean, c’est surtout toutes les applis par dessus qui nous espionne.

/e/ est un android clean, avec des applis clean. Rien ne nous piste. Ca fait du bien d’utiliser son smartphone sereinement.
Dans le store /e/, on peut filter pour n’installer que des applis libres et clean.

On peut aussi installer n’importe quoi, mais je vois pas l’intérêt d’avoir un téléphone sous /e/ pour faire ça.

Ce serait peut-être surtout à Google d’enfin faire quelque chose de sérieux sur leur store.
Surtout qu’ils le vendent comme étant « sécurisé » …

C’est malheureusement difficile. Déjà parce qu’on parle essentiellement de logiciels propriétaires dont le code source n’est pas disponible, ce qui complique énormément l’analyse.
Ensuite parce que même avec ce code source, auditer sérieusement un logiciel pour certifier l’absence de malware est un travail humain très long et très coûteux. Et il faudrait le faire pour chaque application, ce qui est raisonnablement impossible.
Quand google parle de sécurisation, cela signifie vraisemblablement qu’ils utilisent les méthodes de détection des malwares raisonnablement applicable de manière automatisée. Ce qui est la seule méthode réaliste avec un store qui compte autant d’applications. Mais avec les limites que l’on connait.

Paradoxalement, l’exemple qui se rapproche le plus d’un modèle de logiciel bien contrôlé se trouve dans le logiciel libre. Déja parce que les logiciels libres ont un code source ouvert, donc transparent. Que les programmeurs qui contribuent lisent (et contrôlent) le code des autres. Qu’il y a des tiers indépendant responsables de l’intégration des paquets dans les distributions linux. Et qu’il y a le plus souvent des procédures rigoureuses en terme de signature électronique.
Bref, c’est rare de trouver un malware dans un dépôt linux.

@nickOh

C’est parfois plus fourbe que ça, je me rappelle d’un article sur clubic il y a un moment : un des logiciels qui sert au développement des applis android avait été compromis, et à la compilation (mise en .apk de l’apppli), elle intégrait un malware automatiquement !

Certes, mais ce n’est pas très courant, bien que les conséquences peuvent être dramatiques.
Après, il faut réaliser qu’une compromission n’arrive pas forcément par hasard. Dans l’informatique, les causes des problèmes sont les mêmes qu’ailleurs. Quand la productivité prends le pas sur tout le reste et que les programmeurs n’ont plus le temps d’observer les bonnes pratiques de sécurité ni de contrôler un minimum les bibliothèques, les outils et les sources de téléchargement qu’ils intègrent, alors on prends des risques et l’on finit par récolter un beau matin ce que l’on a semé.

@Popoulo

Non mais on te dira que c’est la faute à Google car ils n’ont pas fait leur job. Victimiser les coupables c’est la mode voyons.
Un peu comme si tu descendais dans la rue et butais quelqu’un en disant que c’est la faute à la police qui n’a pas su protéger les citoyens ou la faute à la société trop méchante… Tiens, ça rappelle tellement de « faits divers ».

Le fait est que les citoyens doivent être responsables de leurs actions mais aussi que la société doit assurer un niveau de protection raisonnable.
Mais hélas, tout ne se résume pas à cela. Les problèmes de société peuvent avoir des causes bien plus complexes.
Et il faut savoir faire la différence entre comprendre et excuser. La notion de « faute » ne doit pas être une barrière mentale empêchant de voir ce qui se trouve au delà. Sinon, on risque de s’attaquer aux symptômes au lieu de traiter les vraies causes.

@cirdan

La peine de mort n’a jamais empêché les meurtres. S’il suffisait de durcir les peines pour régler les problèmes, ça se saurait.
Désolé pour l’exemple, peut-être un peu hard…

Je suis totalement d’accord.
Cela n’empêche pas qu’a l’inverse, l’impunité totale ou des peines insuffisamment dissuasives peuvent avoir un effet incitatif.
Par exemple, si la seule sanction effective au fait de présenter une application vérolée dans un store soit la suppression de cette application… si on se fait prendre, c’est clairement peu dissuasif.
Dans ces conditions, il ne faut pas s’étonner de voir le problème perdurer.

Non ce n’est pas parce-que le NOYAU linux est libre, que ce que tu ajoutes dedans l’est, la plupart des distributions GNU/Linux contiennent du code closed source.
Si tu veux une distribution libre de toute trace de code obfusqué, faut prendre une distribution GNU/Linux-libre.

Et Androïd n’a de Linux que le noyau, et encore une fois ledit noyau est remplis de blobs closed source proprios pour faire tourner le matos (« lesdits » noyaux plus exactement puisque chaque smartphone a un noyau adapté avec ses propres blobs différents), tout le reste, la partie OS (Androïd) est développé par Google et uniquement google, et n’est pas sous licence GPL mais Apache.

De plus quand je dis que /e/ est dépendant du bon vouloir de Google, c’est par rapport à ce fait, quiconque utilise androïd AOSP reste dépendant du bon vouloir de google pour les versions futures, sans compter du bon vouloir des constructeur en matière de mise à jour (dans 5 ans ton smartphone, même sous /e/ sera mort par obsolescence programmée, car les dernières versions d’AOSP ne pourront plus tourner par manque de compatibilité avec le noyau linux blobé plus mis à jour par le fabriquant).

Si tu veux te libérer de Google, de la dépendance aux constructeurs, tu passes sous un OS GNU/Linux comme uTouch ou Mangaro, ou PostmarketOS, Plasma-Mobile, ou encore PureOS.

Et même plus, tu passes sous du matériel full open source avec une de ces distrib, comme le Pinephone ou le Librem 5.

Mais je précise, je n’ai rien contre /e/, c’est un très bon premier pas pour se libérer de l’espionnage, je dis juste que /e/ reste dépendant AOSP et donc de google, passer sous /e/ ne libère donc pas complètement de google.

C’est comme dire « je passe à chromium pour me libérer de Chrome et Google », non, ça ne marche pas…

Les utilisateurs de ces applis sont-ils alertés ?