Les applications Android collectent des données utilisateur même après avoir refusé l'autorisation

Plus de 1 000 applications Android récoltent vos données sans autorisation

Une nouvelle étude de recherche a révélé que plus de 1 000 applications Android disponibles sur le Google Play Store violaient les autorisations pour voler des données privées telles que des messages, des journaux d’appels, des photos et plus encore.

Des chercheurs de l’Institut international d’informatique de l’UC Berkeley (ICSI), qui a produit la recherche, ont testé 88 000 applications du Google Play Store américain et ont découvert que 1 325 applications collectaient des informations concernant les données de géolocalisation et les identifiants de téléphone.

Lié - 10 des meilleures applications Android gratuites

L’étude publiée sur le site de la Federal Trade Commission (FTC) a cité 153 applications, y compris Samsung Health, le navigateur de Samsung, Shutterfly et l’application du parc Disneyland de Hong Kong, qui ont collecté des données sans autorisations explicites.

“Les plateformes de smartphones modernes mettent en œuvre des modèles basés sur les autorisations pour protéger l’accès aux données sensibles et aux ressources système. Cependant, les applications peuvent contourner le modèle d’autorisation et accéder à des données protégées sans le consentement de l’utilisateur en utilisant à la fois des canaux cachés et latéraux,” ont écrit les chercheurs dans un rapport détaillé.

“Les canaux latéraux présents dans l’implémentation du système d’autorisation permettent aux applications d’accéder à des données protégées et à des ressources système sans autorisation ; tandis que les canaux cachés permettent la communication entre deux applications complices afin qu’une application puisse partager ses données protégées par autorisation avec une autre application manquant de ces autorisations. Les deux posent des menaces à la vie privée des utilisateurs.”

Par exemple, les chercheurs ont découvert que Shutterfly – le site de partage de photos utilisé pour éditer des photos – collectait des données GPS des téléphones mobiles et les envoyait à ses propres serveurs, indépendamment du fait que les utilisateurs aient autorisé ou refusé l’autorisation de l’application d’accéder aux données de localisation.

“Comme de nombreux services photo, Shutterfly utilise ces données pour améliorer l’expérience utilisateur avec des fonctionnalités telles que la catégorisation et des suggestions de produits personnalisées, le tout conformément à la politique de confidentialité de Shutterfly ainsi qu’à l’accord des développeurs Android,” a déclaré l’entreprise dans un communiqué répondant à l’étude, précisant qu’elle ne collecte des données GPS que sur ceux qui lui donnent l’autorisation.

Dans le cas de Disneyland Hong Kong, il a été constaté que l’application utilisait la carte SD comme un canal caché pour stocker les informations IMEI du téléphone. Bien que 13 applications aient été trouvées exploitant ce canal caché pour obtenir les informations IMEI, ces applications ont été installées plus de 17 millions de fois.

“Le nombre d’utilisateurs potentiels touchés par ces résultats est de plusieurs centaines de millions. Ces pratiques trompeuses permettent aux développeurs d’accéder aux données privées des utilisateurs sans consentement, sapant la vie privée des utilisateurs et soulevant à la fois des préoccupations juridiques et éthiques,” ont écrit les chercheurs.

“La législation sur la protection des données dans le monde entier – y compris le Règlement général sur la protection des données (RGPD) en Europe, la California Consumer Privacy Act (CCPA) et les lois sur la protection des consommateurs, telles que la Federal Trade Commission Act – imposent la transparence sur les pratiques de collecte, de traitement et de partage des données des applications mobiles.”

Les chercheurs qui ont signalé leurs résultats à Google en septembre dernier affirment que certains d’entre eux pourraient être corrigés dans le prochain système d’exploitation Android Q prévu pour cette année. Cela signifie que plusieurs utilisateurs de smartphones plus anciens qui ne reçoivent pas les mises à jour Android Q continueront à faire face au problème, laissant leurs appareils vulnérables.

Lié - Microsoft injecte des publicités pour installer ses autres applications sur Android

“En révélant ces pratiques et en rendant nos données publiques, nous espérons fournir des données et des outils suffisants aux régulateurs pour engager des actions d’application, à l’industrie pour identifier et corriger les problèmes avant de publier des applications, et permettre aux consommateurs de prendre des décisions éclairées sur les applications qu’ils utilisent,” ont déclaré les chercheurs.

Les chercheurs suggèrent que Google devrait considérer ces problèmes de confidentialité comme des vulnérabilités de sécurité sérieuses et qu’il est nécessaire de mettre à jour le fonctionnement des autorisations.

À lire aussi - Meilleur antivirus gratuit pour smartphones Android