Suivez-nous

Smartphones

Android : voici comment des applis accèdent aux données sans votre consentement

Des chercheurs de l’International Computer Science Institute (ICSI) découvrent des failles qui permettent à des applications d’obtenir certaines informations de votre smartphone même si vous refusé de fournir celles-ci. De nouvelles mesures de sécurité sont déjà prévues sur Android Q.

Il y a

le

OS Android 10 Q
© andrekheren (via Pixabay.com)

Sur Android comme sur iOS, lorsqu’une application veut accéder à certaines informations sur votre mobile, comme la géolocalisation, celle-ci doit d’abord vous demander la permission. Et d’un point de vue ergonomique, Google et Apple ont fait en sorte que ces demandes de permissions soient plus claires pour les utilisateurs.

Mais visiblement, sur Android, même lorsque vous refusez un accès à une application, il est encore possible que celle-ci contourne le mécanisme afin d’accéder à certaines données.

C’est ce que découvrent les chercheurs de l’International Computer Science Institute (ICSI), qui ont testé et analysé les comportements de plus de 88 000 applications Android, parmi les plus populaires sur le Play Store. Et leur conclusion, c’est que plus d’un millier d’applications ou de bibliothèques tierces sont en mesure de collecter des données qui n’ont pas été autorisées par l’utilisateur, en contournant le mécanisme imposé par Google sur Android. Les données concernées incluent des identifiants uniques comme les adresses MAC ou bien l’IMEI de l’appareil, ainsi que des données de géolocalisation.

Contourner les mesures prises par Google

Deux techniques pour collecter ces données sont mises en avant. L’une, la « side channel », exploite des informations qui ne sont pas couvertes par les mécanismes de sécurité du système d’exploitation. L’autre, « covert channel », implique le partage d’informations entre deux applications.

L’étude évoque par exemple deux bibliothèques tierces chinoises (Baidu et Salmonads) qui utilisaient un « covert channel ». Les chercheurs affirment que si une application utilisant la bibliothèque a pu obtenir l’IMEI du téléphone, cette information est stockée par la bibliothèque. Puis, elle peut être lue par d’autres applications utilisant la même bibliothèque, sans demander la permission.

Le document publié par l’International Computer Science Institute (ICSI) cite également l’exemple de l’application d’édition de photos Shutterfy qui, même sans le mécanisme de permissions d’Android pour utiliser le GPS, peut collecter des infos de géolocalisation. Comment est-ce possible ? En exploitant l’EXIF des photos. « Même si cette application n’a peut-être pas l’intention de contourner le système d’autorisation, cette technique peut être exploitée par un acteur malveillant pour accéder à la localisation de l’utilisateur. Chaque fois qu’une nouvelle photo est prise par l’utilisateur avec la géolocalisation activée, toute application disposant d’un accès en lecture à la photothèque (c’est-à-dire READ_EXTERNAL_STORAGE) peut connaître l’emplacement précis de l’utilisateur lorsque cette photo a été prise », lit-on dans l’étude. Pour sa défense, Shutterfy a indiqué dans une déclaration relayée par Cnet : « Comme de nombreux services photo, Shutterfly utilise ces données pour améliorer l’expérience utilisateur avec des fonctionnalités telles que la catégorisation et des suggestions de produits personnalisées, le tout conformément à la politique de confidentialité de Shutterfly et au contrat de développeur Android. »

Les résultats de l’étude ont déjà été communiqués à Google ainsi qu’à la FTC (régulateur américain). Et en plus d’avoir récompensé les chercheurs avec une prime, Google travaille déjà sur un moyen de bloquer ces nouveaux moyens d’accéder aux données des utilisateurs. Malheureusement, ces fonctionnalités sont annoncées pour Android Q. Et on sait que pour la majorité des utilisateurs d’Android, la version la plus récente de l’OS mettra beaucoup de temps à arriver après sa sortie officielle.

Newsletter 🍋 Inscrivez-vous à la newsletter tout juste sortie du four, rien que pour vous

Cliquez pour commenter

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Les bons plans Prime Day 🔥

Soldes Amazon Cdiscount Soldes Amazon Cdiscount
PromosIl y a 14 heures

Après le fameux Prime Day Amazon, que reste-t-il encore en soldes ? 🔥

Après un Amazon Prime Day hautement qualitatif, les soldes reprennent leur cours avec des milliers de promotions toujours disponibles. Voici...

Prime Day Samsung TV Prime Day Samsung TV
InternetIl y a 2 jours

Bon Plan : les TV 4K UHD Samsung et LG à -25% jusqu’à minuit 🔥

Il reste moins de 6 heures pour profiter des offres agressives du Prime Day Amazon. Parmi celles-ci on trouve de...

iPad Pro Prime Day soldes iPad Pro Prime Day soldes
PromosIl y a 2 jours

Soldes iPad Pro : 17% de réduction jusqu’à minuit au Prime Day (vite) 🔥

Il faut parfois savoir être patient : les iPad Pro 2018 sont désormais en soldes pour le Prime Day Amazon. Voici...

Philips Hue Philips Hue
PromosIl y a 2 jours

Bon plan : ampoule Philips Hue à -50%, ça prend fin ce soir minuit 🔥

La gamme Philips Hue est en promotion pour ce Prime Day Amazon. Toutefois, les bonnes affaires s'arrêtent ce soir à...

Projecteurs Anker Projecteurs Anker
Bons PlansIl y a 2 jours

Bon Plan : les projecteurs portables Anker à prix cassés 🔥

Dernière ligne droite pour le Prime Day, et les projecteurs portables Anker ont le droit à de très fortes réductions....

Garmin Forerunner 735XT Garmin Forerunner 735XT
Bons PlansIl y a 2 jours

Bon Plan Running : 50% de réduction sur les montres GPS Garmin 🏃‍♂️

Garmin est un acteur majeur du running et sa gamme Forerunner est reconnue par tous. Pour Prime Day, la marque...

switch nintendo switch nintendo
PromosIl y a 2 jours

Prime Day : packs Nintendo Switch à -25% sur Amazon (fin ce soir) 🔥

La console Nintendo Switch est en réduction pendant le Prime Day Amazon 2019. Voici notre sélection des meilleurs packs Switch...

Dernières news

Newsletter 🍋 Inscrivez-vous à la newsletter tout juste sortie du four, rien que pour vous

Les tests