Pour créer un tel Launcher malveillant, il faudra :
- Désactiver Paramètres > Applications > Gérer les applications
- Désactiver Paramètres > Applications > Développement > Débogage USB
- Désactiver Market (pour vous empêcher de télécharger des applications Home Switcher)
- Empêcher toute autre application de type Launcher de s'ouvrir (sinon, vous pouvez simplement lancer l'autre Launcher et aller dans les paramètres à partir de là).
- Désactiver l'application de type émulateur de terminal (pour empêcher la désinstallation par
pm
o rm
-sur le .apk)
- ...d'autres ?
Cela ressemble à un trou de sécurité béant dans Android, non ?
Non. Quand les experts en sécurité parlent d'un système ayant une bonne sécurité, ils ne parlent pas d'un utilisateur stupide qui fait des choses stupides à son système. Un utilisateur stupide qui donne des privilèges injustifiés à un programme non fiable est un problème social, pas un problème de sécurité.
Linux (et Android) est sécurisé, non pas parce qu'il est impossible de perturber le système (vous pouvez, très facilement, juste taper sudo rm -rf /
). Linux est sûr parce qu'un programme malveillant ne peut pas perturber le système sans l'autorisation de l'utilisateur et qu'un utilisateur ne peut pas perturber le système à moins d'avoir le privilège approprié pour perturber le système (un utilisateur avec un privilège Root peut perturber le système de milliers de façons).
Contrairement à d'autres systèmes d'exploitation, Linux (et Android) n'essaie pas de protéger l'utilisateur de faire quelque chose de stupide (car une telle protection empêcherait également les utilisateurs expérimentés de faire quelque chose d'intelligent). Il suivra aveuglément votre ordre lorsque vous lui demanderez de s'autodétruire (pour autant que l'utilisateur ait le privilège d'ordonner au système de s'autodétruire).
Le cours sudo's first-time-sudoers suivant résume la manière dont Unix/Linux assure la sécurité :
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:
#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.
Quoi qu'il en soit, si un tel lanceur malveillant arrive sur le marché, nous pouvons être sûrs que Google le supprimera immédiatement et sans délai du marché (et émettra probablement une commande de désinstallation à distance). Et si vous installez un tel Launcher depuis l'extérieur de Market, alors vous n'êtes pas un "utilisateur typique", vous êtes responsable de votre propre si vous installez des programmes depuis l'extérieur de Market.