(FR) Assignation des permissions Android, des packages aux processus par Julien Thomas


La gestion des droits sous Android est une question essentielle pour la prise en cause de la sécurité et de la protection des données utilisateurs, notamment leur vie privée. Avec l’arrivée d’Android Marhsmallow, sur la base notamment des travaux du projet AppOp sous KitKat, les utilisateurs ont désormais la possibilité de contrôler partiellement les permissions demandées par les applications, au lieu d’un simple “J’accepte ou je n’installe pas l'application”.

Cependant, l'ouverture de ce contrôle aux utilisateurs implique l'implémentation du concept de l'activation de permissions, ce qui ouvre la voie à de potentielles nouvelles failles de sécurité et exploits. De plus, ce nouveau concept a requis la mise en place d'un politique de "backward compatibility" afin d'assurer le bon fonctionnement des anciennes applications.

Dans cette présentation, nous montrons les limites de la politique de sécurité sur les permissions sous Android, en raison de mauvaises (ou incomplètes) implémentations sur les APIs fournies au développeurs, les algorithmes pour l'affichage au niveau des informations systèmes, les incohérences au niveau backward compatibilité et enfin des erreurs algorithmes sur la révocation des permissions.

A partir d'une présentation des incohérences sur le code source du Android Open Source Project, nous montrerons comment les exploiter sur Android avant Marshmallow. Dans un second temps, nous montrerons comment ces problèmes peuvent être rapportés aux dernières versions du code source AOSP et comment les exploiter sur les récentes versions d'Android.

A propos de Julien THOMAS @protektoid

Julien THOMAS Engineer from a French Grande École, INSA of Rennes, Julien Thomas is also a French doctor in Computer and Information Security since 2011.

During his PhD, he submitted multiple research papers to national and international research conferences. He had the opportunity to present his research work in information flow and formal modeling in European and Asian countries.

Since 2011, he focused his work on developing web and mobile solutions for businesses in Europe. He also created a company in order to develop startup projects such as Protektoid, which focuses on device security and privacy review of Android applications based, for instance, on personal and social algorithms.