Publicités

Voici les nouvelles façons sournoises de vous traquer grâce aux applications Android

Voici les nouvelles façons sournoises de vous traquer grâce aux applications Android

Le système d’exploitation de Google gère l’accès à vos informations personnelles. Mais que se passe-t-il lorsque les applications refusent de jouer selon les règles ?

Vous pourriez admirer la ténacité si elle n’était pas accompagnée d’une telle supercherie : Après des années d’efforts de Google pour empêcher les applications Android d’analyser les données des utilisateurs sans autorisation, les développeurs d’applications continuent d’essayer de trouver de nouvelles solutions de rechange pour suivre les gens.

Une conférence à PrivacyCon, une conférence d’une journée organisée par la Federal Trade Commission jeudi dernier, a mis en évidence quelques façons dont les applications fouillent le réseau, les périphériques et les identificateurs d’emplacement.

Officiellement, les applications interagissent généralement avec Android par l’intermédiaire de connecteurs logiciels appelés API, donnant au système d’exploitation la possibilité de gérer leur accès. « Bien que les API Android soient protégées par le système de permissions, le système de fichiers ne l’est souvent pas « , a déclaré Serge Egelman, directeur de recherche du Usable Security and Privacy Group de l’International Computer Science Institute de l’Université de Californie à Berkeley. « Certaines applications peuvent se voir refuser l’accès aux données, mais elles les trouvent dans différentes parties du système de fichiers. »

Dans un article intitulé  » 50 façons de divulguer vos données : An Exploration of Apps’ Circumvention of the Android Permissions System,’ Egelman et ses collègues chercheurs Joel Reardon, Álvaro Feal, Primal Wijesekera, Amit Elazari Bar On et Narseo Vallina-Rodriguez ont décrit trois catégories d’exploits découvertes grâce à une série de tests.

Une cible commune, a expliqué M. Egelman jeudi, est l’adresse MAC codée en dur d’un réseau WiFi –  » un bon substitut pour les données de localisation « .

Les chercheurs ont lancé des applications sur une version instrumentée d’Android Marshmallow (et, plus tard, sur Android Pie). L’inspection approfondie des paquets du trafic réseau a révélé que les applications construites sur des bibliothèques tierces telles que le kit de développement logiciel OpenX lisent les adresses MAC à partir d’un répertoire cache système. D’autres applications ont exploité les appels système ou les protocoles de découverte réseau pour obtenir ces adresses plus directement.

Egelman a ajouté que le fonctionnement de ces applications rendait souvent la tromperie évidente pour les chercheurs : « Il y a beaucoup d’applications que nous avons observées qui essaient d’accéder aux données de la bonne façon à travers l’API Android, et puis, à défaut, essayent de les extraire du système de fichiers. »

L’obtention de l’IMEI (International Mobile Equipment Identity) d’un téléphone, un identifiant unique à chaque appareil, peut être encore plus efficace pour un suivi permanent. Les chercheurs ont découvert que les bibliothèques de publicité de Salmonads et de Baidu attendaient qu’une application contenant leur code soit autorisée par l’utilisateur à lire l’IMEI du téléphone, puis copiaient cet identifiant dans un fichier de la carte SD du téléphone que les autres applications construites sur ces bibliothèques pouvaient lire secrètement.

« Cela correspond à environ un milliard d’installations des différentes applications qui exploitent cette technique », prévient Egelman.

Finalement, cette équipe a observé que l’application de partage de photos Shutterfly permettait de contourner le manque de permission pour les données de localisation en lisant les géolocalisateurs des photos enregistrées sur le téléphone et en transmettant ensuite ces coordonnées au serveur Shutterfly. Sondra Harding, directrice des communications de Shutterfly, a répondu dans un courriel à Fastcompany mardi, disant que l’application ne lit les photos que lorsqu’un utilisateur autorise l’accès : « L’expérience utilisateur offre de multiples possibilités d’accorder cette permission, y compris l’option de téléchargement automatique, l’insertion d’une photo locale dans un chemin de création de produit, les paramètres de l’application, etc.

Cette étude et une autre présentée jeudi -‘Panoptispy : Characterizing Audio and Video Exfltration from Android Applications « , par Elleen Pan de la Northeastern University avec Jingjing Ren, Martina Lindorfer, Christo Wilson et David Choffnes, n’a toutefois pas rapporté de preuves que les applications de Facebook exploitaient des failles pour écouter subrepticement de l’audio ambiante du monde réel.

La théorie selon laquelle Facebook ou d’autres font cela continue d’apparaître malgré des dénégations laborieuses, sur l’enregistrement – et dans tous les cas, la version actuelle d’Android Pie bloque les applications d’enregistrement audio ou vidéo en tâche de fond.

Egelman a conclu son exposé en disant que Google a payé à son équipe une prime de bugg pour la divulgation de ces vulnérabilités et a promis des correctifs pour eux dans la prochaine version Android Q. Il a dit que ce n’était pas suffisant, disant que « la grande majorité des utilisateurs d’Android ont des appareils plus anciens et ne recevront pas de mises à jour en direct qui corrigent cette vulnérabilité ».

En attendant, les utilisateurs ne peuvent qu’essayer d’éviter les ennuis. Dans son exposé, Egelman a proposé une option : la recherche dans la base de données AppCensus des résultats de la recherche. Il n’en a pas mentionné un autre : s’en tenir au site mobile d’une entreprise au lieu d’installer son application et espérer qu’elle s’occupe de ses propres affaires.

Via Fastcompany

Publicités

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

%d blogueurs aiment cette page :