Applications smartphone, faut il devenir parano ?

Discussion dans 'iPhone (Matos)' créé par kronoss, 14 Septembre 2012.

  1. Offline
    kronoss sujet à droite -->
    Hello all,

    Je développe des applications depuis pas mal de temps déjà et je suis arrivé à certains constats:

    Un jour une entreprise m'a demander de récupérer des informations sur les utilisateurs, mail, numéros de tel, etc sans vraiment les avertirs lorsqu'ils utilisent l'application.

    Constat: ça passe le store sans problèmes.

    Maintenant, imaginez une application qui vous permet de vous connecter sur Facebook, la pluparts des applications vous proposent de vous connecter sur une page avec votre pass et user. 99% du temps les gens le tape sans réfléchir, l'application se connecte normalement et tout se passe bien... Seulement l'application avant de vous connecter peu prendre soin d'envoyer votre user et mot de passe sur le serveur du développeur...

    La question: est ce que ça passera le store ? Probablement ! Car le seul moyen de le savoir est de tracer les paquets internet sur le réseau et voir avec quoi l'application communique, ce que ne fait pas apple.

    Est ce que c'est fréquent ? Probablement pas, c'est même assez rare en théorie... Mais le seul fait de le savoir fait que j'hésite de plus en plus a me connecter à certaine applications même s'il elles sont fortement utilisées.

    Alors d'après vous, faut il être parano ? Ou pensez vous que tout ceci ne sont que légende urbaines et que vous pouvez faire confiance à votre os préféré ?(je parle bien de tout les os smartphone)
    kronoss, 14 Septembre 2012
    #1
  2. Offline
    L@rgo_XIII G33K
    Vu qu'il leur faut 1 semaine pour valider, je pense quand même qu'ils ont des procédures de validation bien ficelée et qu'ils contrôlent ce genre de choses ...

    Ils doivent avoir aussi prévu des outils performant pour détecter aisément ce genre de leak d'information.

    Des failles il doit y en avoir, c'est clair, mais pas des aussi "grossière" que celle que tu décris. Enfin .. j'ose espérer :)
    L@rgo_XIII, 14 Septembre 2012
    #2
  3. Offline
    kronoss sujet à droite -->
    Dans les fait une application n'est testée que pendant 15 minutes. Le délais est du au fait qu'il y a beaucoup d'appli à tester.

    Et comme je te l'ai dit, j'ai déjà récupéré des infos des utilisateurs.
    kronoss, 14 Septembre 2012
    #3
  4. Offline
    L@rgo_XIII G33K
    Ah ben tu m'apprends quelque chose. Vu comme ça, j'ai bien l'impression que le système de validation est quasiment inutile ... Il constitue juste une contrainte puisqu'il crée une latence dans les mises à jours des applications etc...

    Autant ne pas valider (comme Google) et reporter la responsabilité sur l'utilisateur...

    Apple est assez décevant ces derniers temps. Je suis plutôt du genre "Apple hater", mais là je suis presque triste et je leur souhaite de remonter la pente !
    L@rgo_XIII, 14 Septembre 2012
    #4
  5. Online
    Skarbone I would rather be snowboarding
    J'utilise pas d'iphone mais je suppose que c'est comme sur android: la plupart des applications qui te permettent de te logger sur facebook reprennent simplement un code de l'API facebook permettant de se connecter. A priori a ce moment la il ne devrait pas y avoir de soucis.
    Skarbone, 14 Septembre 2012
    #5
  6. Offline
    Aqua Elite
    Il faut pas oublier que les mots de passes sont cryptés sur les serveurs enfin il me semble ...
    Aqua, 14 Septembre 2012
    #6
  7. Offline
    L@rgo_XIII G33K
    A partir du moment où tu tapes ton mot de passe dans une application codée par quelqu'un de malintentionné, il le récupères et il en fait ce qu'il veut.

    On ne parle pas de hacker les serveurs de Facebook, mais plutôt d'une sorte de pishing.
    L@rgo_XIII, 14 Septembre 2012
    #7
  8. Offline
    kronoss sujet à droite -->
    Exact, mais l'api, tu peux la modifier, ou mettre un écran intérmédiaire, passer au travers cette "protection" est hyper simple.

    Je donne l'exemple ios, mais mon post comprends tous les smartphones en général.

    edit: grilled
    kronoss, 14 Septembre 2012
    #8
  9. Online
    Skarbone I would rather be snowboarding
    mais encore une fois, je me souviens pas avoir vu une seule application ou tu devais tapper explicitement ton mot de passe et ton email, c'est plutot des boutons "connect with facebook" qui font appel à l'application facebook pour te connecter.
    Skarbone, 14 Septembre 2012
    #9
  10. Offline
    leval Gnagnagna
    oue pas faux
    leval, 14 Septembre 2012
    #10
  11. Offline
    pixandco Say hello
    Mais du truc "Connect with facebook", comment savoir si c est pas un "phishing" qui ferait la connexion en deux etapes, 1) prendre ton user/mdp 2) te connecter via l appli facebook ?
    pixandco, 14 Septembre 2012
    #11