Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

17 000 applications Android pistent les utilisateurs par des moyens poussés

17 000 applications Android pistent les utilisateurs par des moyens poussés

Le 18 février 2019 à 09h54

Selon une étude de l’ICSI (International Computer Science Institute), environ 17 000 applications Android violeraient les conditions d’utilisation de la boutique Google Play pour cibler plus efficacement les utilisateurs.

Au lieu de se contenter du seul Advertising ID, ces applications s’abreuvent d’autres informations identifiantes : adresse MAC, IMEI et Android ID. Or, ces données ne peuvent pas être modifiées, ou très difficilement. Ensemble, elles constituent un redoutable moyen d’identification.

Comme le rapporte CNET, l’ICSI a transmis le résultat de ses recherches à Google, qui dit prendre le sujet très au sérieux. Des actions auraient déjà été entreprises contre certaines applications, mais on ne connait pas la portée de ces représailles.

L’éditeur confirme que des conditions d’utilisation sont bien violées par ces applications, mais sans dire lesquelles. Il est peu probable malheureusement que Google puisse rétablir la « justice » sans modifier profondément le fonctionnement de sa boutique.

Les développeurs ont en effet le droit d’utiliser l’adresse MAC, l’IMEI et le reste pour des raisons spécifiques, mais pas pour le ciblage publicitaire. Problème, Google ne peut vérifier cette bonne pratique que s’ils passent par son propre réseau publicitaire. Si les applications s’adressent à une autre crèmerie, il n'y a rien à faire.

Certaines des applications sont connues, mais ont été mises à jour entre temps. Cheetah Mobile par exemple, éditeur de Cheetah Keyboard et Mobile Doctor, ne se servirait de l’Android ID que pour le seul suivi du nombre d’installations. Mobile Doctor a par ailleurs été mis à jour en 2018 pour ne plus capter l’IMEI.

Le fait est que les résultats obtenus par l’ICSI ne font que braquer un peu plus les projecteurs sur un problème plus global : les activités secrètes des applications mobiles par manque de surveillance.

Apple a récemment eu le problème avec les fameux certificats d’entreprise, que des développeurs n’hésitaient pas à utiliser pour récupérer des données personnelles. Microsoft n’est pas épargnée, avec plusieurs PWA de son Store contenant des cryptominers, d’après des recherches de Symantec.

Les grandes plateformes n’ont donc pas le choix : elles doivent resserrer le contrôle et prendre des mesures plus radicales en cas de contournement ou violation. La peur de voir le nombre d’applications baisser sur une boutique n’est plus un argument depuis longtemps.

Le 18 février 2019 à 09h54

Commentaires (26)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Sale histoire :/



Nombre de jeux les plus connus sont dans la liste, une part effrayante des utilisateurs doit être concernée

votre avatar

C’est bien de prévenir les gens, mais ça serait encore mieux si on avait la liste des appli concernées non ?



A mois que j’ai raté le lien quelque part ?

votre avatar

LA LISTE ! <img data-src=" />



J’ai fais le ménage sur mon tel, mais je peux faire + ! <img data-src=" />

votre avatar

Ha ha ! Mort de rire… Compter sur les conditions d’utilisation pour faire respecter la vie privée des gens…

Google a pas assez de tune pour construire des sas commerciaux et techniques afin d’éviter ce genre de conneries ? Ou bien ils s’en foutent totalement ?

votre avatar

Le premier lien de l’article donne une liste de 20 applications. Je n’ai pas trouvé les 16980 applications restantes, mais j’ai lu en diagonale.

votre avatar

Dire qu’il suffirait au législateur d’interdire complètement l’accès aux données personnelles pour régler le problème

votre avatar







Kevsler a écrit :



Google a pas assez de tune pour construire des sas commerciaux et techniques (…)





C’est-à-dire concrètement ?


votre avatar

Si tu as une réclamation à formuler, tu peux l’envoyer à M.Rees. Il se fera un plaisir de la jeter sans la lire<img data-src=" />

votre avatar

Une liste de 20 apps est dans l’article lié, mais les auteurs n’ont pas rendu publique la liste complète. <img data-src=" />

votre avatar

Interdire l’usage de ce genre de tracking au tout venant via l’API Android et émettre des certificats autorisant ces usages à des partenaires commerciaux qui ont mérité d’être certifiés.

votre avatar

Donc interdire carrément l’accès à l’adresse MAC sauf si on montre patte blanche à Google ? Et comment Google pourrait-il anticiper la bonne foi des partenaires ? En tant que petit développeur, je doute que Google m’autoriserait si facilement même si je fais une autorisation légitime de cette API.



Pourtant, Android est un système libre qui doit pouvoir fonctionner sans que Google s’en mêle, d’autant que Google Play Store n’est pas la seule boutique d’applications…



ÉDIT : au passage, accéder à l’adresse MAC existe déjà une permission au niveau de l’application. Aux utilisateurs de faire attention à ce qu’ils installent aussi…

votre avatar

Ouep et sous les autres OS (y compris PC) il n’y a pas de malware ou d’application pourrie bien sur ^^”



Faudrait un renforcement généralisé du système de permission (tout OS confondu) au niveau utilisateur.

votre avatar

Android peut évoluer au même titre que les conditions d’utilisation du Google Play Store. Rien n’est gravé dans le marbre. Parenthèse fermée.



Pour l’adresse MAC j’suis d’accord c’est compliqué au titre de la gestion réseau. Pour le reste j’verrais pas de soucis à fermer le robinet. Le soucis c’est surtout la facilitation de l’obtention combinée de l’IMEI et de l’Android ID.

Sinon Google peut se fendre un scan des applications proposées sur le Play Store, à grand renforts d’IA, afin de détecter des usages abusif des identifiants.



P.S. : Moi j’suis qu’un péquin devant son PC. C’est pas à moi de demander ou d’exiger ce qu’il faut faire. Envoie plutôt un mail à Google. Là j’suis au taff, j’balance des “solutions” un peu au pif…

votre avatar

Pour l’adresse MAC, quel est l’intitulé de la permission demandée ?



“Plein accès au réseau” ? “Afficher les connexions au réseau” ?



J’vois ça pour un de mes jeux. Y’a quand même un problème si c’est ça, c’est que t’as un package de permission trop conséquent et bien mal présenté. Un petit badge “autorisation sensible pour votre vie privée” ferait pas de mal.


votre avatar







Vekin a écrit :



ÉDIT : au passage, accéder à l’adresse MAC existe déjà une permission au niveau de l’application. Aux utilisateurs de faire attention à ce qu’ils installent aussi…







Totalement, à l’installation une application affiche la liste de toutes ses permissions. Si un simple jeu a besoin d’accéder à ton appareil photo, de se lancer au démarrage, de connaître ta position, etc. il ne faut surtout pas poursuivre.



Malheureusement, la plupart des gens soit l’ignorent soit s’en f


votre avatar

Aucune appli du top20 sur mon phone mais je dois sûrement en avoir une ou deux des 16980 restantes. <img data-src=" />

votre avatar

Déjà que la plupart des utilisateurs d’ordiphone ne sait pas ce qu’est Android…

votre avatar

Android et pistage sont les 2 mamelles du modèle d’affaire de Gogol alias Big Data compilator.



NB: m’en vais faire un don à Exodus Privacy et à Thinkerview.

votre avatar

Vrai : “ah mais moi j’ai Samsung” <img data-src=" />

votre avatar







Kevsler a écrit :



Android peut évoluer au même titre que les conditions d’utilisation du Google Play Store. Rien n’est gravé dans le marbre. Parenthèse fermée.





Sauf que la boutique d’applications Google Play et Android sont deux choses bien différentes et il n’y a aucune raison qu’Android, le système d’exploitation, souffre des mêmes limitations que le Store ! <img data-src=" />



Par exemple, le Store interdit les applications qui utilisent un autre système d’achats intégré que celui de Google (logique). Par contre, cela serait anormal s’il en était de même pour l’OS entier <img data-src=" />







Kevsler a écrit :



Sinon Google peut se fendre un scan des applications proposées sur le Play Store, à grand renforts d’IA, afin de détecter des usages abusif des identifiants.





Par exemple, oui.







Kevsler a écrit :



P.S. : Moi j’suis qu’un péquin devant son PC. C’est pas à moi de demander ou d’exiger ce qu’il faut faire. Envoie plutôt un mail à Google. Là j’suis au taff, j’balance des “solutions” un peu au pif…





Ah mais moi non plus et j’avais bien compris <img data-src=" />



Mais à lire ton premier message, on aurait dit que la solution était toute trouvée. Or, il n’en est rien.


votre avatar

Je ne sais plus par cœur, mais les permissions s’affinent justement de versions en versions, à cause de ces abus, sans oublier d’autres mécanismes. En fait, on peut déjà dire que l’API se “ferme” de plus en plus (ou, du moins, que certaines fonctions aisément “détournables” de leur but premier deviennent moins faciles à exploiter dans le mauvais sens, surtout discrètement).



ÉDIT : concernant l’adresse MAC, avant c’était dans le très générique “ACCESS_WIFI_STATE”. Depuis Android 6, l’accès à l’adresse MAC demande la permission “ACCESS_FINE_LOCATION” ou “ACCESS_COARSE_LOCATION”, sans quoi c’est 02:00:00:00:00:00 qui est systématiquement retournée.

votre avatar







Kevsler a écrit :



Le soucis c’est surtout la facilitation de l’obtention combinée de l’IMEI et de l’Android ID.





Autre exemple avec l’ID : depuis Android O, la valeur est différente pour chaque app et chaque utilisateur, là où elle était globale auparavant <img data-src=" />


votre avatar

Ouais y’a du mieux au fur et à mesure mais tu vois l’acceptation des autorisations à l’unité, je ne comprends pas qu’il ai fallu attendre Android M (N ?! L ?! J’suis paumé…). Ça aurait dû être fait dès le début. Moi ce que je comprends c’est que ce n’était pas dans l’intérêt de Google de développer ces aspects sensibilisant aux usages que les éditeurs peuvent faire d’un smartphone, à des fins de collecte de données.



Et là j’rigole parce qu’on peut pas s’étonner du fait que certains ne respectent pas les CGU x)

votre avatar

j’ai bloqué 2 bonnes minutes sur l’illustration où je prenais le sparadrap pour un doigt coupé <img data-src=" />

(rien de plus à dire qui n’ait déjà été dit)

votre avatar







Vekin a écrit :



Donc interdire carrément l’accès à l’adresse MAC sauf si on montre patte blanche à Google ? Et comment Google pourrait-il anticiper la bonne foi des partenaires ? En tant que petit développeur, je doute que Google m’autoriserait si facilement même si je fais une autorisation légitime de cette API.



Pourtant, Android est un système libre qui doit pouvoir fonctionner sans que Google s’en mêle, d’autant que Google Play Store n’est pas la seule boutique d’applications…



ÉDIT : au passage, accéder à l’adresse MAC existe déjà une permission au niveau de l’application. Aux utilisateurs de faire attention à ce qu’ils installent aussi…





sinon l’OS (quel qu’il soit) pourrait&nbsp; donner une addresse MAC temporaire, comme ça l’appli utilise l’adresse spoofé pour son fonctionnement, et celle de l’utilisateur reste privé.


votre avatar

Exactement.. Comme un carnet d’adresse vide par défaut, une position random etc, ça n’empêcherait pas le fonctionnement de l’application. Avec les permissions t’as des applis qui refusent de démarrer alors qu’elles n’ont légitimement pas besoin des ces accès.

17 000 applications Android pistent les utilisateurs par des moyens poussés

Fermer