Applications smartphone, faut il devenir parano ?

kronoss

Geek power
Hello all,

Je développe des applications depuis pas mal de temps déjà et je suis arrivé à certains constats:

Un jour une entreprise m'a demander de récupérer des informations sur les utilisateurs, mail, numéros de tel, etc sans vraiment les avertirs lorsqu'ils utilisent l'application.

Constat: ça passe le store sans problèmes.

Maintenant, imaginez une application qui vous permet de vous connecter sur Facebook, la pluparts des applications vous proposent de vous connecter sur une page avec votre pass et user. 99% du temps les gens le tape sans réfléchir, l'application se connecte normalement et tout se passe bien... Seulement l'application avant de vous connecter peu prendre soin d'envoyer votre user et mot de passe sur le serveur du développeur...

La question: est ce que ça passera le store ? Probablement ! Car le seul moyen de le savoir est de tracer les paquets internet sur le réseau et voir avec quoi l'application communique, ce que ne fait pas apple.

Est ce que c'est fréquent ? Probablement pas, c'est même assez rare en théorie... Mais le seul fait de le savoir fait que j'hésite de plus en plus a me connecter à certaine applications même s'il elles sont fortement utilisées.

Alors d'après vous, faut il être parano ? Ou pensez vous que tout ceci ne sont que légende urbaines et que vous pouvez faire confiance à votre os préféré ?(je parle bien de tout les os smartphone)
 
Vu qu'il leur faut 1 semaine pour valider, je pense quand même qu'ils ont des procédures de validation bien ficelée et qu'ils contrôlent ce genre de choses ...

Ils doivent avoir aussi prévu des outils performant pour détecter aisément ce genre de leak d'information.

Des failles il doit y en avoir, c'est clair, mais pas des aussi "grossière" que celle que tu décris. Enfin .. j'ose espérer :)
 
1er
OP
kronoss

kronoss

Geek power
Vu qu'il leur faut 1 semaine pour valider, je pense quand même qu'ils ont des procédures de validation bien ficelée et qu'ils contrôlent ce genre de choses ...
j'ose espérer :)
Dans les fait une application n'est testée que pendant 15 minutes. Le délais est du au fait qu'il y a beaucoup d'appli à tester.

Et comme je te l'ai dit, j'ai déjà récupéré des infos des utilisateurs.
 
Ah ben tu m'apprends quelque chose. Vu comme ça, j'ai bien l'impression que le système de validation est quasiment inutile ... Il constitue juste une contrainte puisqu'il crée une latence dans les mises à jours des applications etc...

Autant ne pas valider (comme Google) et reporter la responsabilité sur l'utilisateur...

Apple est assez décevant ces derniers temps. Je suis plutôt du genre "Apple hater", mais là je suis presque triste et je leur souhaite de remonter la pente !
 

Skarbone

Le méchant Ω
J'utilise pas d'iphone mais je suppose que c'est comme sur android: la plupart des applications qui te permettent de te logger sur facebook reprennent simplement un code de l'API facebook permettant de se connecter. A priori a ce moment la il ne devrait pas y avoir de soucis.
 

Aqua

Elite
Il faut pas oublier que les mots de passes sont cryptés sur les serveurs enfin il me semble ...
 
Il faut pas oublier que les mots de passes sont cryptés sur les serveurs enfin il me semble ...
A partir du moment où tu tapes ton mot de passe dans une application codée par quelqu'un de malintentionné, il le récupères et il en fait ce qu'il veut.

On ne parle pas de hacker les serveurs de Facebook, mais plutôt d'une sorte de pishing.
 
1er
OP
kronoss

kronoss

Geek power
J'utilise pas d'iphone mais je suppose que c'est comme sur android: la plupart des applications qui te permettent de te logger sur facebook reprennent simplement un code de l'API facebook permettant de se connecter. A priori a ce moment la il ne devrait pas y avoir de soucis.
Exact, mais l'api, tu peux la modifier, ou mettre un écran intérmédiaire, passer au travers cette "protection" est hyper simple.

Je donne l'exemple ios, mais mon post comprends tous les smartphones en général.

edit: grilled
 

Skarbone

Le méchant Ω
mais encore une fois, je me souviens pas avoir vu une seule application ou tu devais tapper explicitement ton mot de passe et ton email, c'est plutot des boutons "connect with facebook" qui font appel à l'application facebook pour te connecter.
 

leval

Gnagnagna
oue pas faux
 

pixandco

Say hello
mais encore une fois, je me souviens pas avoir vu une seule application ou tu devais tapper explicitement ton mot de passe et ton email, c'est plutot des boutons "connect with facebook" qui font appel à l'application facebook pour te connecter.
Mais du truc "Connect with facebook", comment savoir si c est pas un "phishing" qui ferait la connexion en deux etapes, 1) prendre ton user/mdp 2) te connecter via l appli facebook ?
 
Haut