Sur Android comme sur iOS, lorsqu’une application veut accéder à certaines informations sur votre mobile, comme la géolocalisation, celle-ci doit d’abord vous demander la permission. Et d’un point de vue ergonomique, Google et Apple ont fait en sorte que ces demandes de permissions soient plus claires pour les utilisateurs.
Mais visiblement, sur Android, même lorsque vous refusez un accès à une application, il est encore possible que celle-ci contourne le mécanisme afin d’accéder à certaines données.
C’est ce que découvrent les chercheurs de l’International Computer Science Institute (ICSI), qui ont testé et analysé les comportements de plus de 88 000 applications Android, parmi les plus populaires sur le Play Store. Et leur conclusion, c’est que plus d’un millier d’applications ou de bibliothèques tierces sont en mesure de collecter des données qui n’ont pas été autorisées par l’utilisateur, en contournant le mécanisme imposé par Google sur Android. Les données concernées incluent des identifiants uniques comme les adresses MAC ou bien l’IMEI de l’appareil, ainsi que des données de géolocalisation.
Contourner les mesures prises par Google
Deux techniques pour collecter ces données sont mises en avant. L’une, la « side channel », exploite des informations qui ne sont pas couvertes par les mécanismes de sécurité du système d’exploitation. L’autre, « covert channel », implique le partage d’informations entre deux applications.
L’étude évoque par exemple deux bibliothèques tierces chinoises (Baidu et Salmonads) qui utilisaient un « covert channel ». Les chercheurs affirment que si une application utilisant la bibliothèque a pu obtenir l’IMEI du téléphone, cette information est stockée par la bibliothèque. Puis, elle peut être lue par d’autres applications utilisant la même bibliothèque, sans demander la permission.
Le document publié par l’International Computer Science Institute (ICSI) cite également l’exemple de l’application d’édition de photos Shutterfy qui, même sans le mécanisme de permissions d’Android pour utiliser le GPS, peut collecter des infos de géolocalisation. Comment est-ce possible ? En exploitant l’EXIF des photos. « Même si cette application n’a peut-être pas l’intention de contourner le système d’autorisation, cette technique peut être exploitée par un acteur malveillant pour accéder à la localisation de l’utilisateur. Chaque fois qu’une nouvelle photo est prise par l’utilisateur avec la géolocalisation activée, toute application disposant d’un accès en lecture à la photothèque (c’est-à-dire READ_EXTERNAL_STORAGE) peut connaître l’emplacement précis de l’utilisateur lorsque cette photo a été prise », lit-on dans l’étude. Pour sa défense, Shutterfy a indiqué dans une déclaration relayée par Cnet : « Comme de nombreux services photo, Shutterfly utilise ces données pour améliorer l’expérience utilisateur avec des fonctionnalités telles que la catégorisation et des suggestions de produits personnalisées, le tout conformément à la politique de confidentialité de Shutterfly et au contrat de développeur Android. »
Les résultats de l’étude ont déjà été communiqués à Google ainsi qu’à la FTC (régulateur américain). Et en plus d’avoir récompensé les chercheurs avec une prime, Google travaille déjà sur un moyen de bloquer ces nouveaux moyens d’accéder aux données des utilisateurs. Malheureusement, ces fonctionnalités sont annoncées pour Android Q. Et on sait que pour la majorité des utilisateurs d’Android, la version la plus récente de l’OS mettra beaucoup de temps à arriver après sa sortie officielle.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
