Quelles informations éventuellement sensibles sont incluses dans les fichiers apk ?
Les métadonnées évidentes sont bien sûr les champs du certificat de signature. Mais qu'en est-il des chemins d'accès (absolus) aux fichiers, des noms d'utilisateur utilisés sur la machine où l'apk a été créé et d'autres informations similaires ?
Les fichiers APK ne contiennent généralement pas beaucoup de ces données, sauf si le développeur les a explicitement ajoutées ou s'il a utilisé des programmes tiers inhabituels pour modifier les ressources contenues dans l'application, par exemple les images. Vous pouvez simplement vérifier cela en décompressant un fichier APK prêt à être publié. Utilisez des outils de recherche en texte intégral sur tous les fichiers décompressés et recherchez les données que vous considérez comme sensibles.
Si vous voulez minimiser les données inutiles, je vous recommande d'utiliser une machine virtuelle avec, par exemple, une installation minimale de Linux où l'installation elle-même ne contient pas de données sensibles. Comme les applications Android peuvent être construites facilement en utilisant Gradle en ligne de commande, vous n'avez même pas besoin d'une interface utilisateur. Utilisez-le pour construire le fichier APK final et le copier sur l'OS hôte. Examinez le fichier créé comme décrit au début et si vous ne trouvez rien, il est prêt à être publié.
J'ai déjà regardé un peu autour de moi, mais je ne suis pas sûr des détails. Par exemple, il est facile de ne pas voir que tar stocke les noms d'utilisateur lorsque vous détarrez en tant qu'utilisateur normal, et la propriété est fixée à votre propre nom d'utilisateur de toute façon. De même, je me demande si les apk ne contiennent pas des métadonnées auxquelles on ne s'attend pas. Je suppose que l'utilisation d'une machine virtuelle est la meilleure solution pour être absolument sûr, mais il est quand même intéressant de savoir quelles métadonnées peuvent être présentes dans les fichiers apk.
AndroidAlle est une communauté de androiders où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
