Google peut supprimer ou installer des applications à distance

Si vous ne le saviez pas déjà, Google se réserve le droit de supprimer à distance des applications sur nos terminaux, des applications qui seraient, selon Google, malveillantes ou ne respecteraient pas les règles de l’Android Market.

La nouvelle peut faire froid dans le dos.

Google a récemment supprimé deux applications réalisées par un chercheur en sécurité.

Les applications présentaient de fausses description comme le dit Rich Cannings, responsable de la sécurité chez Android :

« Ces applications ont été volontairement mal renseignées afin d’encourager les utilisateurs à les récupérer mais elles n’ont pas été conçues pour être malicieuses et n’avaient pas la permission d’accéder au données privées de l’utilisateur ou aux ressources du système autres que l’accès à Internet »

Il explique également que cette mesure « aide à protéger les utilisateurs d’Android dans (un) environnement ouvert ».

Dans un récent billet, Jon Oberheide, chercheur en sécurité et développeur de ces deux applications, explique qu’il serait facile d’amorcer un rootkit sur les téléphones dotés d’Android par l’intermédiaire du Market. Oberheide a tout d’abord créé une application baptisée rootstrap qui permet de récupérer à distance du code assembleur ARM et de l’exécuter en dehors de la machine virtuelle Dalvik.

Un attaquant pourrait effectivement utiliser cette approche pour réaliser une application à l’apparence innocente mais qui changerait les droits et privilèges permettant par la suite d’utiliser une future vulnérabilité du noyau Linux.

En clair, au moment de sa distribution, son application ne savait rien faire de malicieux mais dés qu’une faille est découverte, cette application, déjà installée sur un téléphone peut l’exploiter et donc devancer de vitesse une éventuelle mise à jour de sécurité.

Oberheide distribua cette application via l’Android Market sous une application dénommée « Twilight Eclipse Preview »…

Quelques jours après, Google demande à Jon Oberheide de retirer ces applications de l’Android Market, requête qu’il exécute. Google utilise alors pour la première fois la fonctionnalité de kill d’applications ! Elle désinstalle à distance l’application du téléphone portable.

Évidemment, ce retrait des application de votre téléphone ne peut se faire que si les dites applications ont été téléchargées depuis l’Android Market.
Évidemment, d’autres plate-formes disposent de telles fonctionnalités mais on se pensait à l’abri de ce genre de pratiques chez Google.

De plus, en apparence, cette fonctionnalité de “kill switch” se justifie moins sur Android que sur l’iPhone. En effet, iTunes a tout pouvoir sur votre téléphone et installe les applications que vous avez téléchargé via votre PC sans vous redemander quoique ce soit sur votre téléphone. Or, une faille importante d’iTunes (ou un logiciel malveillant se faisant passer pour ce dernier) pourrait donc provoquer l’installation non désirée d’une application.

Or sur Android, tant que la 2.2 n’est pas sortie, ce problème n’existe pas. Enfin … en apparence.

Car en réalité, la situation sur Android est la même. En effet, lorsque vous téléchargez une application via l’Android Market, ce dernier vous demande de valider les permissions de l’application puis, l’application se télécharge et s’installe. Or ceux qui téléchargent des applications via le web ou via des markets alternatifs savent que le programme d’installation d’application demande habituellement de valider les permissions. Ainsi, puisque l’Android Market les montre déjà, on devrait les voir deux fois.

En fait, si ce n’est pas le cas, c’est parce que le fonctionnement de l’Android Market passe outre le processus normal d’installation. Lorsque vous choisissez une application sur le market, le market transmet (via un service XMPP) l’information aux serveurs de Google qui pushent ensuite l’application. Quelque part, c’est une installation forcée que vous avez demandé, exactement comme avec iTunes (vous remarquerez aussi que la fonctionnalité CD2M d’Android 2.2 pourraient donc très bien fonctionner avec des versions antérieures d’Android …).

Et comme avec iTunes, si les serveurs de Google sont compromis, cela peut être problématique pour nous !

Il est donc nécessaire d’avoir un bouton rouge quelque part permettant de contrer cela.

Mais … dans notre cas, la situation était différente et si Google a sorti les armes, c’est avant tout pour faire comprendre qu’il veillait tout de même sur son Market.

En effet, il y a quelques jours, un éditeur de logiciel de sécurité a mené une étude concluant que 20% des applications ont accès à des informations privées (comme votre localisation par exemple). Un chiffre absolument pas aberrant qui est certainement le même sur toutes les plate-formes à la différence qu’Android est l’une des rares à indiquer clairement ce qu’une application peut faire (via son système de permissions).

Ce chiffre a tout de même fait la une de plusieurs sites webs donnant ainsi une image négative d’Android et c’est sans aucun doute la raison pour laquelle Google a fait cette démonstration et ce de façon publique.

Malgré toutes ces explications, vous n’aimez pas l’idée d’un tel contrôle de la part de Google ? Vous avez sans doute raison et c’est pourquoi le recours au web ou aux markets alternatifs pour télécharger des applications est possible

Cet article a été écrit de façon collaborative par Griphine, cr0vax et DrDuck.

Un nouveau Motorola sous Android ? Le Charm

D’après nos voisins d’outre-Atlantique qui auraient reçu ces images, il semblerait que cet appareil soit prévu chez l’opérateur T-Mobile. Avec son allure monobloc clavier+écran, on peut déjà affirmer qu’il sera sous Motoblur avec Android 2.1.Le clavier quant à lui serait de même type que le Motorola Dext, il possède également une touche pour accéder directement à la caméra.

Skyfire 2.1 disponible

Le navigateur Skyfire, on vous en parle chez FrAndroid depuis quelque temps. C’est un des navigateurs web alternatifs disponibles sur l’Android Market, au même titre qu’Opera Mini ou Dolphin par exemple. Celui-ci propose une liste de fonctionnalités très intéressantes.

• Son propre moteur de rendu des pages (très pratique si le navigateur de base n’affiche pas correctement un page)
• Support d’HTML 5
• Lecture des vidéos Flash (avec conversion Flash vers conteneur de HTML 5)
• Support du plugin Flash 10.1 pour Android 2.2
• Disponible à partir d’Android 1.5
• Changement du User Agent

Vous pouvez accéder directement à l’application en scannant ce code barre :

Avis personnel : je l’utilise en complément du navigateur de base mais pas en remplacement. Je trouve que l’interface n’est pas aussi ergonomique que le navigateur de base. Mais comme c’est du ressenti personnel, je vous incite vraiment à tester ce navigateur gratuit.

Terminal Android “pour fille” : Pantech A620K !

Pantech nous offre son second mobile sous android, après le Sky Sirius (mobile haut de gamme) voici le second mobile de la marque, le Pantech A620k (Crystal de Yzar) qui s’adresse plutôt à un public féminin d’après la marque.

Ce nouveau mobile offre une petite nouveauté car il change de couleurs en fonction de l’utilisation que l’on en fait. Le changement de couleur s’effectuera sur le bas du terminal.

Les caractéristiques du Pantech A620K sont :

• Ecran tactile de 3.2″ (WVGA)
• Bluetooth
• Tuner T-DMB
• Appareil photo de 5MP
• Lecteur Micro SD
• Carte de 4 GO pré-installée

Ce terminal devrait être disponible chez l’opérateur Coréen Korea Telecom dès le mois de juillet. Le Pantech A620K devrait bientôt recevoir une mise à jour vers android 2.2.

Aucune information sur son prix ou une éventuelle sortie en dehors de la Corée mais l’on pense qu’elle est peu probable.

Android : Prendre le contrôle de son terminal depuis son ordinateur

D’une manière officieuse, des développeurs ont mis en oeuvre une possibilité qui permet de prendre le contrôle de son terminal depuis son ordinateur, ou encore d’en survoler ses dossiers système. Par exemple, cette solution peut être utile lors de présentation sur grand écran ou projecteur.

Pour se faire…

• Cette pratique nécessite le root, sinon elle ne marchera que dans un sens et pas dans l’autre
• Vous devrez tout d’abord posséder le SDK Android (Disponible pour Windows, Linux et Mac OS)
• Décompresser ce dossier à la racine de votre lecteur (exemple c:/) pour ensuite l’installer
• Ensuite télécharger et installer le JDK 6 (Si vous ne le possédiez pas déjà)
• Le fichier androidscreencast est nécessaire (c’est celui qui nous permettra de contrôler le terminal)

Avant d’exécuter ce fichier, vérifier que votre terminal est bien reconnu par votre ordinateur:

• Ouvrir une invite de commande et se placer dans le dossier tools (exemple cd c:/android-sdk/tools) et taper la ligne “adb devices”

Vous devriez voir apparaitre:

Si tout s’est bien passé, vous pouvez dès à présent exécuter le fichier androidscreencast. Pour l’essayer et se diriger à l’aide de l’écran du terminal qui est reflété sur l’ordinateur. Les touches qui sont situées aux extrémités de cette fenêtre viendront combler les manques rencontrés.

Il y a tout de même quelques ralentissements, l’idée existait déjà depuis quelques mois. Pour de plus amples informations, ce projet est présent et visible sur code.google.com.

Le Samsung Galaxy S sortira au Canada cet été

On ne sait pas encore qui de Bell, de Telus ou de Rogers commercialisera le Samsung Galaxy S mais en tout cas le constructeur sud-coréen annonce une sortie pour cet été.

Nul doute que ce terminal fera un véritable tremblement de terre sera un succès car l’offre en matière d’Android est encore balbutiante au pays.

FrAndroid souhaite par ailleurs (avec un jour de retard, certes) une bonne St Jean à tous.

UnrEVOked 2 : Un accès simplifié au recovery de votre HTC Desire

Si vous possédez les droits du rOOt, Unrevoked2 est un outil qui remplacera votre recovery par une version modifiée de façon permanente pour y accéder plus rapidement. Attention, il est indiqué que disposer le logiciel HTC Sync peut nuire à une bonne application de ce dernier.

Cette solution fonctionne sur:

• HTC Evo 4G
• HTC Droid Incredible
• HTC Desire

On peut dès à présent se procurer Unrevoked2 à cette adresse. L’avantage est qu’il fonctionne sous Windows, Linux et Mac OS. Si vous souhaitez de plus amples informations sur cette pratique, vous pouvez vous rendre à cette adresse.

Le X10 mini et X10 Mini pro chez Rogers

C’est encore MobileSyrup qui a déniché l’information :

Les Sony-Ericsson X10 Mini et Mini Pro (que nous avons testés ici et là) feront donc partie du catalogue de Rogers d’ici peu de temps.

Concours Samsung : développez les applications Bada de demain !

Après un premier concours dédié à Android, Samsung Electronics réitère l’expérience avec le concours Samsung Application Factory dédié au système Bada.

Pour ceux qui ne savaient pas encore, Bada est la nouvelle plateforme ouverte de Samsung qui équipe en autres le nouveau Samsung Wave et prochainement toute une armada de téléphones Samsung, nous en avons parlé de nombreuses fois sur FrAndroid. Bada a été pensée et conçue pour les développeurs et leur garantit un environnement très convivial, tout particulièrement dans le domaine des applications Web. Orientée services, le SDK (kit de développement) prend en charge les fonctionnalités comme les réseaux sociaux, la synchronisation des terminaux, la gestion des contenus ou la géolocalisation, il ouvre la voie à de nouvelles opportunités pour les développeurs.

Amis développeurs, vous pouvez donc tenter votre chance avec un kit de développement (SDK) accessible et de bonnes idées, vous avez toutes vos chances et deux longs mois de grandes vacances pour travailler sur votre application à l’ombre d’un cocotier, ou pas.

Surtout que les dotations sont assez conséquentes comme à l’habitude avec Samsung, au total Samsung met en jeu 200 000 € qui se répartissent de la manière suivante :

• L’ application 1 : 100 000 €
• L’ application 2 : 50 000 €
• L’ application 3 : 20 000 €
• Les applications 4, 5 et 6 : 10 000 € chacune

Jusqu’au 15 septembre 2010, vous pouvez vous inscrire, récupérer le SDK Bada et déposer vos applications sur le site www.samsungfactory.fr.

Cet article est un publi-postage, FrAndroid est rémunéré pour sa publication.

(MàJ) Nexus One : Une nouvelle mise à jour Android 2.2 – FRF83

Une autre nouveauté est apparue durant la nuit vers 2h. La mise à jour qui a été récupérée a pour numéro de build FRF83, elle corrige évidemment quelques problèmes néfastes qui étaient recensés dans la FRF50. C’est peut-être un avantage pour ceux qui n’arrivaient pas à mettre à jour avec la FRF72 qui était récemment proposée.

Rappel: Attention, si vous êtes rOOt, le recovery personnalisé n’autorisera pas cette mise à niveau officielle. Si vous souhaitez restaurer votre téléphone officiellement, la méthode est disponible à cette adresse.

Pour appliquer la MàJ …

• 0 – Utilisateur rOOt. Appliquer cette mise à jour (valable pour toutes les versions..) .. (Et plus de choix à cette adresse).
• 1 – Pour les personnes en FRF50, télécharger cette mise à jour (FRF50>FRF83).
• 2 – Pour les personnes en FRF72, télécharger cette mise à jour (FRF72>FRF83).
• 3 – Renommer le dossier “update.zip” | Placer ce dossier à la racine de votre carte SD
• 4 – Démarrer le téléphoner en maintenant simultanément Power + Volume Bas (ou inverse ça dépend du Nexus One)
• 5 – On sélectionne à l’aide des touches Volume “Recovery”
• 6 – Ensuite “Power” et le téléphone redémarre..
• 7 – Le Recovery apparait. On maintient Power et on appuie sur Volume “Haut” (ou inversement dans certains cas..)
• 8 – Cliquer sur: Apply zip from sd card ”update.zip”
• 9 – Redémarrer l’appareil.. (Il se peut que l’appareil redémarre à deux reprises).

Aide: Pour certains utilisateurs, il n’est pas nécessaire de rajouter l’extension .zip à la fin du fichier, car il peut déjà être nommé par défaut.