Jetez vite votre iPhone afin d'éviter le harcèlement!
http://www.mac4ever.com/news/48159/exclu_iphone_une_vraie_passoire_pour_certaines_donnees_personnelles/
C'est une news plus qu'exclusive que voilà
C'est une news plus qu'exclusive que voilà
Connectez-vous ou Inscrivez-vous pour répondre.
Réponses
Vu qu'apparemment on peut même pas récupérer l'email de l'utilisateur.
Comment fait-on cela ?
Bon, il va sûrement y avoir une 3.1.1 dans pas longtemps ou bien une revalidation des 85000 applications.
Si c'est par le carnet d'adresses, je trouve pas que ça ressemble à une faille. Cela me paraà®t normal de pouvoir bosser avec dans son appli. Après c'est juste une histoire de clause d'utilisation, donc de validation de la part d'Apple.
http://stackoverflow.com/questions/193182/programmatically-get-own-phone-number-in-iphone-os
MacGé en dit plus :
http://www.igeneration.fr/iphone/une-vieille-faille-d-iphone-os-ressurgit-9107
La nouvelle est importante, certes : c'est important d'informer que c'est possible. Quoique quitte à faire tout un foin de la news, il aurait peut-être fallu aussi préciser que cela ne permettait que de récupérer le numéro de téléphone qu'on peut entrer nous-même dans les prefs du téléphone... Ah oui non, zut, ça aurait décridibilisé la news, mince...
Enfin le fait qu'ils ait fait un buzz de malade alors que c'est loin d'être une exclu mais juste un déterrage d'un truc dont on parlait déjà il y a un an... ça décridibilise déjà remarque...
Le buzz qu'a fait Mac4Ever là dessus et toute cette grosse-tête qu'ils ont pris genre "Une information exclusive de la plus haute importance, [qui est] proprement renversante et risque de faire l'effet d'une petite bombe dans la communauté Apple" est à mon avis plus qu'exagéré, surtout que c'est ni une info exclusive (vu qu'elle date de 2008 chez Ars...) ni une bombe comme tout le monde attendait/craignait genre "La commission européenne interdit la vente d'iPhones en Europe"... Franchement là sur le coup, je ne comprend pas M4E... comme le dit la signature de Grouik lui-même, "M4E, le seul site mac qui a dépassé les bornes des limites"
Après, comme je dis, ça n'empêche pas que la nouvelle, même si elle est loin d'être fraiche, n'est pas anodine (c'est la façon de l'annoncer que je trouve honteux). Reste à savoir qui est responsable, Apple qui a permis de faire ça dans son SDK et a validé l'appli, ou l'application suisse goomapsmachin qui a détourné l'usage autorisé par Apple de récupérer le numéro (à la base pour l'afficher) pour s'en faire des listes de télémarketing ?
(Comme je le mettais en comm sur M4E, qui est le fautif, le conducteur qui roule à 180km/h ou le constructeur qui a créé la voiture permettant de le faire ?)
Le conducteur qui roule à 180 est fautif (y a photo et radar!) Ok.
Mais le constructeur qui met des ceintures de sécurité en papier en faisant croire que sa voiture est ultra sure, notamment en cas de percussion par un autre véhicule, me paraà®t fautif et sanctionnable. Il y défaut et tromperie sur un problème de sécurité!
Donc le problème vient pas vraiment du SDK mais plutôt des développeurs qui ont fait une appli d'un tel genre, ainsi qu'à Apple pour avoir laissé passer ça lors de la validation (une communication serveur c'est facile à intercepter quand même...)
"MaSuperApplication veux accéder au numéro de téléphone de votre iPhone! Voulez-vous l'autorisez ?".
Ils ont bien fait de faire la news (quoique c'est plutôt un rappel pour raffraà®chir la mémoire qu'un scoop), mais pas de faire le buzz qui risque de réveiller les détracteurs avec des arguments fallacieux en fustigeant Apple sans savoir de quoi ils causent (sans prendre en compte qu'il faut que l'utilisateur ait renseigné ledit numéro de téléphone dans son iPhone " vous l'avez fait, vous ? " ni que c'est une appli qui a exploité la faille. Bien sûr faut pas dire "Apple est tout blanc" il a une part de faute aussi, et dans ce sens je suis d'accord avec toi aussi tablier, Apple devrait prévenir.
Prévenir justement pourquoi pas avec une popup signalant l'accès à ces données par une appli, comme c'est déjà fait pour la géoloc. Car au contraire de ce que tu dis Louka, ça changerait un peu la donne quand même.
Car si tu acceptes, après c'est de ta responsabilité en tant qu'utilisateur d'avoir accepté, et de la responsabilité de l'auteur de l'application de violer les lois et ta vie privée sans te prévenir comme le fait gomoRoad. Mais bien moins celle d'Apple. Même si la faille est encore là (et surtout que la validation n'aurait jamais dû passer) et qu'ils sont pas tout blancs, au moins ils auront révenus et seront d'un gris plus clair :P
Quoique quoique... Si on lis le SDK Licence Agreement, Apple interdit clairement ce genre d'usage, comme Hak le faisait remarquer dans les forums m4e. Donc même si ça aurait dû passer dans les filtres de la validation Apple, pour moi ça reste quand même l'appli mogoRoad les vrais fautifs.
NB : Certains vont peut-être dire "oui mais Apple devrait alors interdire ce genre d'usage"... mais déjà que certains se plaignent que le SDK n'est pas assez ouvert et ne permet pas assez de choses... imaginez si on ne peut plus récupérer des préférences, accéder à l'API du carnet d'adresses, enregistrer sa voix... (et pourquoi pas ne plus prendre de photos, après tout elle pourraient être envoyées à un serveur et publiées sans nous demander l'autorisation et violer notre droit à l'image !)... il nous resterait quoi comme API ?
Après, ce que je ne comprend pas non plus, c'est pourquoi l'appli n'a pas été fustigée par les commentaires sur l'AppStore (remarque je suis pas allé voir, peut-être est-ce le cas) mais surtout pourquoi l'appli n'a pas été signalée (y'a bien un bouton sur l'AppStore pour ça, non ?) permettant donc de remonter à Apple un gros manque au respect de la vie privée de cette appli pour qu'Apple la retire immédiatement de l'AppStore (alors qu'ils n'auraient jamais dû la valider) ?
Apple ne peux en aucun cas vérifier, lors de la validation, ce genre de choses.
Il suffit que l'application gomoRoad, une fois qu'elle a récupéré le numéro de téléphone par code, crypte ce numéro avant de l'envoyer à leur serveur.
Certes, quand on utilise le cryptage il faut le signaler à Apple lors de la validation... sauf que qui parle de faire ça officiellement voire avec un cryptage complexe ? Ils peuvent très bien récupérer les chiffres du numéro de téléphone, et leur ajouter 1 à chaque chiffre avant d'envoyer le tout, et prétendre que c'est une sorte de numéro d'identification de l'utilisateur et donc que c'est pour ça qu'ils ont besoin de le transférer sur le réseau si on leur pose des questions.
Je ne crois pas non.... La plupart des applications iPhone sont "connectées" (elles échangent des données sur le net), et il n'y a rien de plus simple que d'envoyer des données sensibles en les chiffrant afin qu'elles ne puissent pas être détectées.
Et il n'y a pas besoin d'aller bien loin dans le chiffrement, un simple XOR suffit à rendre un truc illisible. Et je ne pense pas que lors de la validation les techniciens en charge du processus puissent prendre du temps pour imaginer tous les algo de chiffrement que peuvent employer les développeurs.
J'ai répondu à Eagle avant de lire les autres messages du fil :P
Dès qu'ils interceptent une communication, oh, c'est suspicieux... bon on valide pas :P
- Est-ce que votre application envois des statistiques d'utilisation et de crash ?
- Est-ce que votre application collecte des données personnes (automatique ou via formulaire)
etc
Et ainsi rajouter des badges sur l'appStore selon les cas.
Dans mes appli je met un mouchard pour avoir des stats d'utilisation et améliorer mon appli en fonction de son usage (et de ses crash). Je n'ai pas pris la peine de mettre une alerte pour pas que ça soit chiant à utiliser, pour autant je pense que les utilisateurs devraient être averti de cela.
Au dela de l'aspect fausse super news de la mort qui tue, à la hauteur de mes estimes des communauté mac françaises, j'espère que cela ne va pas donner de mauvaises idées à bon nombre de pseudo développeur que l'on retrouve sur la plateforme, et que ce genre de pratique ne va pas s'étendre au Mac.
Etrangement tout ceci a toujours était possible, mais depuis qu'on a l'iPhone et que des millions de dev venue de windows s'intéresse à la plateforme on se retrouve avec ce genre d'applications indésirable.
Même si l'iPhone est une très bonne invention, elle n'aura pas fait que du bien au monde Mac pour sa renommé. Vivement qu'Apple se décide à sortir des certifications développeur (qu'on puisse justifier nos honoraire aux tarif où on les a toujours fait) et pourquoi pas une charte de qualité "Apple Distinguished Developer" comme on retrouve pour les consultants et formateur Apple (Pour permettre de retrouver facilement les applications développé en accord avec les guidelines apple, avec un engagement légal des développeur de ne pas faire de la merde avec les données des utilisateurs entre autre).
J'ai pas dit bloquer bordel xD J'ai dis INTERCEPTER. ça veut pas dire qu'ils vont refuser juste pour ça.
Tu veux qu'ils en fassent quoi, une fois la communication interceptée ?
Tu ne voudrais quand même pas qu'Apple oblige TOUS les logiciels à passer par leurs serveurs pour TOUTES les communications réseau de l'iPhone vers l'extérieur, un peu comme s'ils servaient de PROXY, et ce pour les billions de requêtes réseau qui sont faites par l'iPhone, parfois même sur des réseaux locaux non reliés à internet, et avec les risques de surcharge, de problèmes de NAT et autres que ça engendrerait...
Non j'espère que c'est pas un truc comme ça que tu penses... Mais bon je ne vois que ça dans le terme "intercepter" tel que tu l'utilises... (et en plus je ne vois pas l'intérêt qu'il y a d'intercepter des communications si ce n'est pas pour intercepter le message transmis dans cette communication (pour vérifier qu'il est bon et autorisé ou pas)... mais comme on a mentionné que c'était limite pas humainement possible et imaginable de toute façon... Nan ce serait un truc de malade et bloquerait de toute façon plein de possibilités...
Du coup je vois vraiment pas où tu veux en venir ?
Mais JE RIGOLE ;D
[move]C'était une plaisanterie ;D[/move]
[move]C'était une plaisanterie ;D[/move]
[move]C'était une plaisanterie ;D[/move]
Je suis d'accord, entièrement d'accord.
Sur 10 applications iPhone, combien suivent les guidelines ?
Peut-être une !
Alors que pour les applis Mac, c'est quand même bcp plus fidèle je pense (pour les applis Cocoa du moins).
Intéressant l'histoire des certifications développeurs. ça pourrait être une bonne idée.
Peut-être, mais c'est la fin des freelance ... et comment distribuer cette certification ?
Sur le fond de la news, je dirais que le problème des fichiers informatiques dépasse l'étage du développement des applications. Quelqu'un qui crée un fichier de numéros de téléphone à travers une application doit ensuite le vendre à un service, qui ensuite doit le vendre à une entreprise. On rentre à mon avis dans un modèle Vol -> Recel -> Client.
Ceci dit, pour CoreLocation on a le droit à un petit message d'autorisation, n'est-ce pas identique pour l'address book en lecture ?
C'est vrai que c'est une très bone idée.. mais c'est vrai aussi que je ne vois pas comment Apple pourrait distribuer ça. Sur le coup des applis qui sont dans le top des téléchargements? Allons bon.. même dedans y'a des applis crado parfois.
Déjà qu'Apple en chie bien pour valider les applications, j'imagine pas si en plus ils se mettent à distribuer des certifications de ce genre.
À moins que le fait d'avoir déjà bossé sur des applis Mac joue aussi!
En tout cas, je trouve que l'iPhone nous montre bien ce que cela pourrait être si le Mac dominait le marché. Je pense que si c'était le cas, on trouverait autant de malware que sur Windows, surtout qu'il n'y a pas d'App Store pour Mac (fort heureusement).
Perso, le fait que le Mac soit loin de dominer le marché me va très bien, même en tant que développeur. Mais depuis l'iPhone j'ai l'impression qu'Apple a de plus en plus envie de dominer encore plus le marché.. et j'ai pas l'impression qu'ils regardent trop le passé chez Apple.. IBM était big brother, Microsoft l'est devenu après... Apple voudrait l'être maintenant?
Bein je sais pas moi, passer une certification dans les locaux d'Apple ?
Ils font bien ça chez Microsoft non ?
Pas la fin des freelances (j'en suis un), juste un + pour qualifier éventuellement des softs genre "Certified by an Developer for Apple".
Cela étant dit, on peut très bien être certifié et bâcler une appli...
Au délà de ça, on revient au problème de l'AppStore, tout est mélangé : petits, moyens et grosses applis.
J'ai l'impression que le succès de M4E leur monte à la tête. C'est plus aussi sympa qu'au début !
Il est question d'un QCM dans un temps minimum avec éventuellement une partie pratique ensuite à passer permettant d'obtenir cette certification, ensuite un simple accord a signer numériquement disant qu'on s'engage à des règles de bonnes conduites dans nos application, si on transgresse on perd le droit d'utiliser cette certification
Et ce n'est pas la fin du Freelance, ce n'est pas bosser pour Apple mais juste être certifié par eux, ça se fait quasiment de partout, sauf en dev mac...
Quand au problème en question, c'est la société en question qui n'est pas en règle oui, pas apple
Tout à fait d'accord avec toi sur la certification et le problème !
Seulement, personne mis à part Apple peut proposer cette certification !
* se dépêche d'aller acheter un nom de marque et un nom de domaine *
Oui enfin, je me suis mal exprimé, la certification ira en priorité, si ce n'est en exclusivité, aux sociétés constituées juridiquement, ce qui éliminera des développeurs individuels qui n'ont pas forcément franchi cette étape.
C'est justement ce côté libre qui a attiré beaucoup de (jeunes) développeurs vers l'iphone, et on ne garderait que les sociétés commerciales de développement travaillant pour la rentabilité ... dommage
La création d'une société commerciale est accessible à tous.
Si je me souviens bien, il suffit de 25 $ et de quelques dizaines de minutes pour créer une entreprise aux USA.
Pour la France, il y a le statut d'auto-entrepreneur, entièrement gratuit, dont la création peut se faire en quelques minutes sur n'importe quel ordinateur connecté à Internet.
EDIT : Conclusion, le fait d'accorder un statut privilégié à une structure légalement constituée ne sert à rien. L'obtention d'un label doit se faire uniquement sur la qualité d'une application.