Plus de 4000 applications Google Play collectent en silence une liste de toutes les autres applications installées dans une capture de données qui permet aux développeurs et aux annonceurs de créer des profils détaillés d’utilisateurs, a révélé un document de recherche récemment publié.

Les applications utilisent une interface de programmation fournie par Android qui analyse un téléphone pour obtenir des détails sur toutes les autres applications installées sur le téléphone. Les détails de l’application, qui incluent les noms, les dates d’installation et de mise à jour la plus récente, et plus de trois douzaines d’autres catégories, sont téléchargés sur des serveurs distants sans autorisation et sans notification.

Je suis ce que je suis

Les méthodes d’application installées d’Android, ou IAM, sont des interfaces de programmation d’application qui permettent aux applications d’interagir silencieusement avec d’autres programmes sur un appareil. Ils utilisent deux méthodes pour récupérer divers types d’informations liées aux applications installées, qui ne sont ni classées par Google comme API sensibles. L’absence d’une telle désignation permet aux méthodes d’être utilisées d’une manière invisible pour les utilisateurs.

Toutes les applications qui collectent des détails sur d’autres applications installées ne le font pas à des fins néfastes. Les développeurs interrogés par les chercheurs à l’origine du nouveau document ont déclaré que la collection est la base des applications de lancement, qui permettent la personnalisation de l’écran d’accueil et fournissent des raccourcis pour ouvrir d’autres applications. Les IAM sont également utilisés par les VPN, les logiciels de sauvegarde, les gestionnaires de notifications, l’anti-malware, les économiseurs de batterie et les pare-feu.

Mais la saisie de données peut également être utilisée par les annonceurs et les développeurs pour assembler un profil détaillé des utilisateurs, ont rapporté les chercheurs dans leur article, intitulé Laissez mes applications seules! Une étude sur la façon dont les développeurs Android accèdent aux applications installées sur l’appareil de l’utilisateur. Ils ont cité des études antérieures telles que celui-là, qui a révélé qu’un instantané unique des applications installées sur un appareil permettait aux chercheurs de prédire le sexe de l’utilisateur avec une précision d’environ 70%. Constatations de suivi par les mêmes chercheurs ont élargi la démographie qui pourrait être déduite à des traits tels que la religion, le statut relationnel, les langues parlées et les pays d’intérêt. UNE étude selon différents chercheurs, les données démographiques des utilisateurs incluaient également l’âge, la race et le revenu. La recherche a également révélé que le sexe d’un utilisateur pouvait être prédit avec un taux de précision de 82%.

« Comme d’autres parties de la plateforme Android sensibles à la confidentialité sont protégées par des autorisations d’application, ce qui oblige les développeurs à informer explicitement les utilisateurs avant de tenter d’accéder à ces parties, [it] pose la question de savoir pourquoi les MAI sont traités différemment », ont écrit les chercheurs de l’Université de L’Aquila en Italie, de l’Université de Vrije à Amsterdam et de l’ETH de Zurich dans le dernier article. « En effet, le règlement général de l’Union européenne sur la protection des données (RGPD), généralement considéré comme le premier plan des réglementations sur la confidentialité, considère » les identifiants en ligne fournis par leurs appareils, applications, outils et protocoles  » […] en tant que données personnelles, à toutes fins et moyens. « 

Changements

Le nouveau rapport indique que Google envisage plusieurs modifications à Android qui ont déjà été ajoutées à une version bêta de la version 11 (la sortie générale est prévue pour le troisième trimestre, mais il n’est pas clair si ce délai sera repoussé en raison de perturbations causées par la pandémie de COVID-19). Selon la modification envisagée, pour qu’une application interagisse avec d’autres applications, le développeur doit soit (1) déclarer explicitement dans le manifeste de l’application—Un fichier qui décrit les informations essentielles sur l’application — les applications qu’elles souhaitent inspecter ou (2) nécessitent une nouvelle autorisation appelée QUERY_ALL_PACKAGES, dont la fonction précise reste peu clair pour certains développeurs.

Le changement, selon les chercheurs, ne répond toujours pas à l’une des principales lacunes de l’utilisation abusive des IAM, à savoir le manque de notification aux utilisateurs qu’une application nécessite une autorisation susceptible de porter atteinte à la vie privée. En vertu de la modification envisagée, les applications ne seraient toujours pas tenues de divulguer leur collection de détails sur toutes les autres applications installées. Les représentants de Google n’ont pas répondu à un e-mail demandant des informations sur les changements prévus dans Android et demandant un commentaire plus général pour cet article.

Espionnage d’application

Les chercheurs ont étudié 14 342 applications Android gratuites sur le Google Play Store et 7 886 applications Android open source et analysé l’utilisation des IAM par les applications. Les chercheurs ont découvert que 4 214 des applications Google Play, représentant un peu plus de 30% des personnes étudiées, utilisaient des IAM. Seulement 228 des applications open source, soit un peu moins de 3%, ont collecté des détails sur d’autres applications. Avec plus de 3 millions d’applications disponibles dans le service hébergé par Google, le nombre réel d’applications indiscrètes est presque certainement un ordre de grandeur supérieur aux 4214 trouvés dans l’étude.

Dans l’ordre décroissant, les cinq principales catégories d’applications Google Play qui ont le plus fréquemment collecté les données étaient les suivantes: jeux (73%), bandes dessinées (71%), personnalisation (61%), automobiles et véhicules (54%) et famille (43%). ). La figure ci-dessous répertorie l’utilisation d’IAMS dans toutes les catégories.

Soccia et al.

Le document n’a identifié aucune des applications par leur nom.

La grande majorité des applications Google Play qui ont collecté des données d’application – 84% – l’ont fait à l’aide de bibliothèques de codes tierces. Les chercheurs ont identifié 56 bibliothèques de publicité qui ont collecté les données et ont constaté qu’un « petit nombre » d’entre elles représentaient plus du tiers de toutes les utilisations d’IAM par les bibliothèques groupées. D’autres ensembles identifiés étaient des bibliothèques d’utilitaires, des bibliothèques personnalisées et des bibliothèques d’analyse et de promotion d’applications. Vous trouverez ci-dessous un tableau répertoriant les 20 bibliothèques les plus courantes:

Soccia et al.

«Dans la discussion des résultats, nous avons supposé que [the] la grande majorité des appels IAM effectués par les bibliothèques de publicité sont à des fins de profilage, et nous avons donc suggéré certains changements potentiels à la plate-forme Android en conséquence », ont écrit les chercheurs. Le principal parmi les recommandations était que les utilisateurs reçoivent une notification qu’une application demande l’autorisation d’accéder à d’autres applications installées. Comme les autres demandes d’autorisations, il devrait donner aux utilisateurs la possibilité de refuser.

Les chercheurs ont déclaré que l’iOS d’Apple utilise des méthodes similaires aux IAM pour permettre aux applications de suivre d’autres applications installées. Les chercheurs ont poursuivi en disant que dans les versions récentes du système d’exploitation, « les applications d’intérêt doivent être déclarées de manière préventive dans le fichier manifeste de l’application … et sont donc examinées par les modérateurs de l’App Store avant leur publication ».

Comme indiqué précédemment, il existe des raisons légitimes pour que les applications collectent les détails des autres applications installées. Mais il y a aussi lieu de s’inquiéter. Ces dernières recherches ne font que renforcer le conseil que je donne depuis longtemps, à savoir que les applications Android doivent être installées avec parcimonie et uniquement lorsqu’elles offrent un avantage évident. Cela permet également de favoriser les applications payantes par rapport aux applications gratuites, car cette dernière catégorie est plus susceptible de dépendre des publicités pour ses revenus. Les applications open source collectent également moins de données d’application, mais elles exigent également que les utilisateurs autorisent les installations à partir de marchés tiers.

Written by

manuboss