fbpx

Des milliers d’applications Android peuvent accéder à vos données sans permission

Par

le

De nombreuses applications Android qui collectaient des données et ce même après que les utilisateurs aient explicitement refusé la permission.

Lorsque vous dites explicitement à une application Android: «Non, vous n’avez pas l’autorisation de suivre mon téléphone», vous vous attendez probablement à ce qu’elle ne dispose pas de capacités lui permettant de le faire. Mais des chercheurs ont déclaré que des milliers d’applications avaient trouvé des moyens de contourner le système de permissions d’Android, en géolocalisant l’appareil en identifiant l’adresse Mac de la borne Wi-Fi auquel le smartphone est connecté. Et même sans avoir accès à l’identifiant unique IMEI du smartphone, les applications se tournent vers son adresse Mac.

Même si vous dites «non» à une application lorsque celle-ci vous demande la permission de voir les données identifiant personnellement des bits de données, cela risque de ne pas être suffisant: une deuxième application avec les autorisations que vous avez approuvées peut partager ces bits avec l’autre ou les laisser dans un stockage partagé où une autre application, potentiellement même malveillante, peut la lire. Les deux applications ne semblent peut-être pas liées, mais les chercheurs expliquent qu’elles peuvent utiliser ces mêmes kits de développement logiciel (SDK) pour accéder à ces données. Il est donc évident que les propriétaires de SDK les reçoivent. C’est comme un enfant qui demande un dessert et qui se fait dire «non» par l’un des parents, alors ils le demandent à l’autre parent.

Selon une étude présentée à PrivacyCon 2019, nous parlons d’applications téléchargées des centaines de millions de fois, telles que Samsung et Disney. Elles utilisent des SDK développés par le géant chinois de la recherche Baidu et une société d’analyse appelée Salmonads, qui pourraient transmettre vos données d’une application à une autre (et à leurs serveurs) en les stockant d’abord localement sur votre téléphone. Les chercheurs ont constaté que certaines applications utilisant le SDK de Baidu pouvaient tenter d’obtenir discrètement ces données pour leur propre usage.

L’équipe a découvert plusieurs vulnérabilités de canaux latéraux, dont certaines peuvent récupérer les adresses MAC uniques de votre puce et routeur de réseau, du point d’accès sans fil, de son SSID, etc. «C’est un fait bien connu que c’est un très bon substitut pour les données de localisation», a déclaré Serge Egelman, directeur de recherche du groupe Sécurité utilisable et confidentialité de l’Institut international des sciences informatiques (ICSI), lors de la présentation de l’étude à PrivacyCon.

L’étude identifie également l’application photo Shutterfly pour avoir envoyé les coordonnées GPS réelles à ses serveurs sans obtenir l’autorisation de suivre les lieux – en recueillant ces données à partir des métadonnées EXIF ​​de vos photos – bien que la société ait nié les collecter sans autorisation dans une déclaration à CNET.

Selon certains chercheurs, des correctifs sont à venir dans Android Q, qui auraient informé Google des vulnérabilités en septembre dernier. Pourtant, cela n’aide en rien les nombreux téléphones Android de la génération actuelle qui n’obtiendront pas la mise à jour Android Q. (En mai, seulement 10,4% des appareils Android possédaient la dernière version d’Android P installée et plus de 60% fonctionnaient toujours sur Android N., âgé de presque trois ans.)

Les chercheurs pensent que Google devrait en faire plus, éventuellement en intégrant des correctifs dans les mises à jour de sécurité, car il ne devrait pas s’agir uniquement de nouveaux acheteurs de téléphones bénéficiant d’une protection. « Google affirme publiquement que la vie privée ne devrait pas être un produit de luxe, mais cela semble bien être ce qui se passe ici », a déclaré Egelman.

Articles recommandés

Suivez-nous sur les réseaux sociaux !

Pour ne rien rater de l’actualité High Tech, Geek & Insolite, suivez-nous sur Facebook et Twitter 😉