articles utiles

Pourquoi cette application Android nécessite-t-elle autant d'autorisations?

Cher Goldavelez.com,

J'ai lu votre article sur les autorisations Chrome la semaine dernière, mais je souhaite en savoir plus sur les autorisations pour les applications Android. Il semble que tous les développeurs d'applications veulent avoir accès à tant de choses sur mon téléphone! Ont-ils vraiment besoin de toutes ces autorisations, ou sont-ils en train de collecter mes données?

Cordialement,

Paranoid Android

Cher Paranoid Android,

Les autorisations Android sont simultanément le meilleur ami et le pire ennemi d'un développeur Android. Certaines des meilleures applications disponibles, même de la part de développeurs d'applications réputés et d'entreprises, ont encore besoin d'autorisations assez profondes pour pouvoir effectuer des tâches de base. D'autre part, la controverse entourant les logiciels malveillants Android fait de cette longue liste d'autorisations avant l'installation d'une nouvelle application une expérience effrayante. Voyons si nous pouvons vous rassurer.

Lisez la liste des autorisations et reliez-la aux fonctionnalités de l'application.

Chaque fois que vous installez une application sur Android, la liste des autorisations nécessaires à l'application vous est présentée. Si vous ne consultez pas cette liste avant de cliquer sur «Installer», démarrez maintenant: vous comprendrez mieux les informations dont une application a réellement besoin et les fonctions de votre appareil auxquelles elle a accès simplement en lisant cette liste. Il est tentant de simplement passer à côté de cela, mais de résister: vous devriez au moins les regarder pour en prendre conscience.

La première chose à comprendre est ce que toutes les autorisations que vous acceptez d'accorder à une application lors de son installation signifient réellement. Certaines applications demandent des tonnes de travail (Facebook, Google+, Gmail, etc.) alors que d'autres en demandent relativement peu. Ce fil de discussion sur les forums Android explique très bien le fonctionnement des autorisations et le rôle de chaque type, ainsi que des exemples de leur signification. C'est une bonne lecture, mais au final, il est moins important que vous compreniez la signification de chaque type d'autorisations comme vous comprenez qu'une application le demande lors de l'installation ou de la mise à jour. Assurez-vous de lire la liste des autorisations et essayez de les corréler à une fonctionnalité ou à une fonction de l'application. Si vous pouvez raisonnablement relier les autorisations d'une application à une fonctionnalité (une application SMS qui doit lire des messages SMS ou une application d'identification de l'appelant ayant besoin d'accéder à "lire l'état et l'identité du téléphone", par exemple), vous n'avez pas à vous inquiéter. Regardons les choses en face: la plupart du temps, une application demande les autorisations qui lui sont attribuées, c'est parce que.

La seule exception notable à cette règle concerne les applications nécessitant un accès root. Lorsque vous rootez votre téléphone Android, vous vous accordez ce niveau d'accès au fonctionnement interne du système d'exploitation de votre téléphone. Lorsqu'une application ouvre une demande de superutilisateur et demande la racine, vous devez réfléchir sérieusement à la question de savoir si l'application en a besoin. Les applications telles que ROM Manager et Titanium Backup ont besoin de root car elles effectuent des tâches au niveau du système sur votre téléphone. Toutefois, si une application d'horloge ou même un nouveau programme de lancement d'applications demande root, assurez-vous de bien comprendre pourquoi il en a besoin avant de cliquer sur "Autoriser". Si vous ne le faites pas, ne le faites pas.

Surveillez les applications qui combinent les autorisations sans raison

J'ai discuté avec Prateek Srivastava, élève de CS et développeur Android, de la signification de toutes ces autorisations et de la question de savoir si elles étaient intrinsèquement dangereuses. Il a expliqué que la plupart des autorisations seules sont plutôt inoffensives:

"Même en soi, la permission Internet ne peut pas faire grand chose - et la plupart des applications ont probablement besoin d'afficher des annonces. Ce que vous devez vraiment faire attention, ce sont les applications qui combinent les autorisations bon gré mal gré. Par exemple, si vous aviez une annonce application de navigateur de fichiers prise en charge qui demandait des autorisations pour votre lecture sur votre espace de stockage et pour l'affichage d'annonces sur Internet - rien ne peut empêcher votre application de simplement publier vos données sur les systèmes de fichiers de votre téléphone (y compris les images de votre appareil photo). "

C'est vrai, même les applications qui semblent avoir des utilisations légitimes pour plusieurs autorisations peuvent être dangereuses. MakeUseOf explique certains des types de permissions que vous devriez rechercher, en particulier lorsqu'elles sont combinées dans une seule application, comme le fait Matthew Pettitt dans cet excellent article. Il est facile d’être effrayé lorsque vous voyez le volume d’informations demandé par de nombreuses applications, même de sources dignes de confiance, mais vous devez vous poser ces questions lorsque vous voyez ces longues listes d’autorisations:

  • Cette application est-elle d'un développeur de confiance? Cela ressemble-t-il à un malware?
  • Est-ce que je comprends pourquoi cette application a besoin de ces autorisations?
  • Le développeur m'explique-t-il pourquoi il a besoin de ces autorisations? (Sont-ils répertoriés sur Google Play, avec les raisons de chaque demande d'autorisation? Souvent, ils le sont.)

Si la réponse à ces trois questions est oui, vous êtes en forme. Si vous commencez à répondre non, vous devriez commencer à vous demander si vous avez vraiment besoin de l'application en question. Même les applications de développeurs dignes de confiance peuvent collecter une grande quantité de données, que ce soit à des fins de publicité et de marketing ou parce que quelqu'un a fait foirer. Si vous avez une application d'un développeur dont vous n'avez jamais entendu parler et qui n'explique pas pourquoi elle a besoin d'autorisations, restez à l'écart sauf si vous comprenez que les autorisations sont nécessaires pour le type d'application dont il s'agit.

Encouragez les développeurs à expliquer leurs besoins en autorisations sur Google Play

Il peut être effrayant de regarder une application qui nécessite une tonne d'autorisations, mais assurez-vous de consulter la liste des applications sur Google Play avant de tirer des conclusions. Comme nous l'avons mentionné ci-dessus, si le développeur explique pourquoi chaque autorisation est requise pour que son application fonctionne, vous n'avez rien à craindre, sauf si vous pensez que l'application est en train de faire autre chose dans les coulisses, et si c'est le cas, voir probablement des gens en parler dans les revues d'applications.

Consultez la description de l'application sur Google Play pour voir si le développeur a répertorié les autorisations au bas de la liste des fonctionnalités. De plus en plus de développeurs le font, en partie parce qu'ils savent qu'ils doivent le faire pour lutter contre la paranoïa, mais aussi pour faire preuve de transparence quant aux informations que leur application a besoin de vous. Même s'ils ne l'incluent pas sur Google Play, vous trouverez souvent plus d'informations sur le site Web du développeur. Le gestionnaire de tâches Any.DO, par exemple, demande des autorisations plutôt effrayantes, mais un coup d'œil sur leur FAQ Android devrait apaiser vos craintes.

Si vous ne voyez pas les autorisations expliquées sur Google Play ou sur le site Web du développeur, envoyez-leur un e-mail et demandez-leur. De nombreuses applications de Google Play disposent d'un lien "Visitez le site Web du développeur" ou d'un lien "Règles de confidentialité" qui vous donnera plus d'informations. Même s'ils ne le font pas, ils doivent absolument avoir un lien "développeur de courrier électronique", que vous pouvez utiliser pour leur laisser une ligne et demander pourquoi leur application nécessite les autorisations dont elle dispose. Encouragez-les à ajouter ces informations à la page de leur application sur Google Play. Prateek explique:

"Pour les développeurs, Google recommande lui-même de demander le moins d'autorisations possible. Les développeurs sont également paresseux. Par exemple, la plupart des développeurs demandent simplement aux informations de votre compte utilisateur de l'identifier de manière unique, à partir de leur adresse e-mail ou de leur numéro de téléphone (cela peut - peut-être une validation côté serveur indiquant que l'application n'est pas piratée. Un meilleur moyen de le faire est décrit ici (sans aucune information personnelle requise). "

C’est d’autant plus une raison pour laquelle les développeurs doivent faire preuve de transparence concernant les autorisations qu’ils demandent, at-il ajouté, et pourquoi les utilisateurs doivent faire preuve de prudence - et non paranoïaque - et défier les développeurs quand ils ne savent pas pourquoi une application a besoin des autorisations nécessaires.

Surveiller et ajuster les autorisations des applications sur votre propre

Si vous voulez vraiment installer une application avec des autorisations douteuses ou une application avec des autorisations que vous ne comprenez pas (ou ne pensez pas que cela est nécessaire au bon fonctionnement de l'application), certaines applications peuvent vous aider. Certains empêcheront les applications intrusives d'obtenir les données qu'ils veulent, d'autres ne feront que surveiller les applications que vous installez pour voir si elles font quelque chose de louche. Par exemple:

  • PDroid Privacy Protection (nécessite root) est une application mentionnée précédemment qui garde un œil sur les types d'informations demandées par vos applications et vous permet de les autoriser ou de les interdire par application. Vous pouvez bloquer l'accès aux informations personnelles ou d'identification pour chaque application que vous avez installée, sans que l'application ne se casse dans le processus.
  • LBE Privacy Guard (nécessite root) agit un peu comme un pare-feu basé sur une application pour Android. Il vous avertit lorsqu'une application tente d'accéder aux données et vous donne le choix de l'autoriser ou de le refuser. La clé est que si vous refusez quelque chose dont une application a besoin pour fonctionner, elle pourrait très bien se bloquer, il vous faudra donc réfléchir avant de cliquer. N'oubliez pas que l'ancienne version était appréciée des internautes et que la nouvelle version n'a pas été aussi bien reçue par Google Play. Votre kilométrage peut donc varier.
  • PermissionDog est une autre application que nous adorons car elle vous montre à quel point vos applications installées sont dangereuses. En faisant défiler la liste, vous pouvez déterminer ceux qui conviennent et ceux auxquels vous devriez accorder une plus grande attention. Vous devrez néanmoins effectuer des recherches: par exemple, parce que Google Voice requiert un accès à l'état du téléphone, à son identité, à ses SMS, à son activité veille / réveil et à d'autres autorisations, il est qualifié de dangereux. C'est la bonne classification, mais Google Voice passe le test de détection des odeurs.
  • Pocket Permissions est un guide complet sur les autorisations d'applications. Il est utile pour les débutants Android ou toute autre personne intéressée par le sujet et souhaitant plus de détails sur la signification spécifique de chaque type d'autorisations et sur les données disponibles lors de l'octroi de cette autorisation. Vous pouvez utiliser l'application pour rechercher des autorisations et comprendre pourquoi d'autres applications en ont besoin, effectuez une recherche par autorisation pour voir quelles applications en font la demande, effectuez un tri par risque ou par importance, etc. C'est 2 $, mais c'est un guide valable.

Recherche avant de paniquer

Il n'y a aucune raison de faire rage chaque fois que vous trouvez une application qui nécessite un bon nombre d'autorisations. Dans de nombreux cas, le problème vient peut-être du fait que vous ne comprenez pas pourquoi l’application a besoin des autorisations nécessaires. Il se peut que le développeur dépende un peu d’Android pour que l’application fonctionne. Cela pourrait être une fonctionnalité de l'application que vous ne comprenez pas bien. Avant de vous échapper et d'accuser le développeur de vous avoir volé vos données, consultez Google Play ou demandez-leur directement. Si cela vous semble trop laborieux, n'installez pas simplement l'application et ne cherchez pas une alternative plus transparente.

"En fin de compte, en tant qu'utilisateur, vous devez vraiment faire confiance au développeur pour ce qu'il fait avec les autorisations. Vous pouvez faire une supposition éclairée, mais c'est à peu près tout. En tant que développeur, vous devez faire preuve de transparence Par exemple, si vous devez collecter des analyses relatives à votre application et publier les résultats sur le serveur, vous devez disposer de la permission Internet, mais si votre application est juste une application de l'horloge, les utilisateurs ne comprendront pas pourquoi. avoir la permission d'internet. "

Bonne chance,

Goldavelez.com