211service.com
Comment détecter les applications qui fuient vos données
L'une des raisons pour lesquelles les smartphones et les applications pour smartphones sont si utiles est qu'ils peuvent s'intégrer intimement dans notre vie personnelle. Mais cela met également nos données personnelles en danger.
Un nouveau service appelé Mobilescope espère changer cela en permettant à un utilisateur de smartphone d'examiner toutes les données transférées par les applications et en l'alertant lorsque des informations sensibles, telles que son nom ou son adresse e-mail, sont transférées.
C'est un outil d'interception indépendant de la plate-forme que vous pouvez utiliser sur votre appareil Android, iOS, Blackberry ou Windows, dit Ashkan Soltani , un chercheur indépendant sur la protection de la vie privée qui a créé Mobilescope avec ses collègues chercheurs David Campbell et Aldo Cortesi .
Leur première preuve de concept a remporté le prix de la meilleure application créée lors d'un concours de programmation axé sur la confidentialité, ou codéathon, organisé par le le journal Wall Street en avril de cette année ; le trio l'a maintenant suffisamment peaufiné pour ouvrir une période d'essai bêta. L'accès est progressivement déployé auprès des quelques milliers de personnes qui ont déjà signé , dit Soltani.
Une fois qu'une personne s'est inscrite au service, Mobilescope est accessible via un site Web, et non en tant qu'application installée sur un appareil. Un utilisateur peut utiliser le site pour voir les journaux des données transférées par les applications sur son appareil. Ils peuvent également spécifier des canaris, des informations sensibles telles qu'un numéro de téléphone, un e-mail ou un nom qui déclenchent une alerte s'ils sont envoyés par une application.
Mobilescope peut attraper des applications faisant des choses telles que copier le carnet d'adresses d'une personne sur un serveur distant, comme Path et plusieurs autres applications mobiles ont été trouvées pour le faire plus tôt cette année. Soltani dit que le service est destiné à uniformiser les règles du jeu entre les applications mobiles et les personnes qui les utilisent en fournissant aux utilisateurs plus d'informations sur ce que font ces applications. Comme il est devenu clair lorsque plusieurs applications populaires ont été surprises en train de copier discrètement les données de contact des utilisateurs plus tôt cette année, ni les systèmes d'exploitation mobiles d'Apple ni de Google n'offrent actuellement aux gens un aperçu ou un contrôle des applications partagées (voir Avertissement ignoré par Apple sur l'accès au carnet d'adresses). .
Notre objectif est de rendre vraiment simple le processus d'interception, dit Soltani. Si vous n'êtes pas un utilisateur avancé, vous pouvez toujours accéder à ces données à l'aide de Mobilescope.
Lorsqu'une personne s'inscrit à Mobilescope, un fichier de configuration est envoyé à son appareil. Une fois installé, ce fichier entraîne l'acheminement de tout le trafic Internet futur via un serveur Mobilescope afin qu'il puisse analyser les données qui vont et viennent vers l'appareil et ses applications. Cet arrangement est possible grâce à la façon dont les smartphones sont conçus pour être compatibles avec les VPN, ou réseaux privés virtuels, des communications cryptées que certaines entreprises utilisent pour préserver la confidentialité des données de l'entreprise. Cette conception n'ajoute pas beaucoup de retard à la connexion d'une personne, explique Soltani, en partie parce que les utilisateurs sont connectés à un serveur aussi proche d'eux que possible géographiquement.
Mobilescope peut même examiner les données envoyées via les types de connexion sécurisée les plus courants utilisés par les applications, similaires à celles utilisées par les sites Web bancaires, en interceptant les certificats impliqués. Le service ne peut pas déchiffrer d'autres données, mais Soltani dit que peu d'applications prennent la peine d'utiliser le chiffrement. Les données collectées par Mobilescope sont supprimées après chaque session d'utilisation et ne sont stockées que sur le propre appareil d'une personne.
Soltani dit qu'il n'imagine pas que Mobilescope aura l'attrait de quelque chose comme Angry Birds, mais il espère que cela encouragera les journalistes, les militants et les propriétaires de smartphones ordinaires à examiner ce que font les applications, et aidera à mettre plus de pression sur les développeurs d'applications pour respecter la vie privée. Une transparence accrue pour tous (développeurs d'applications, utilisateurs, régulateurs) aidera l'ensemble de l'écosystème mobile.
Une version antérieure de Mobilescope donnait aux utilisateurs le pouvoir d'envoyer de fausses données à certaines applications, par exemple l'envoi d'un emplacement frauduleux. Nous avons dû retirer cela parce que l'écosystème n'est pas prêt pour cela, explique Soltani, qui dit que cela a cassé certaines applications, parfois d'une manière qui pourrait nuire à d'autres utilisateurs. Un projet distinct met cette tactique à la disposition des utilisateurs d'Android souhaitant utiliser une version modifiée de leur système d'exploitation (voir Utiliser leur application, conserver vos données ).
En avril, Xuxian Jiang , professeur agrégé à la North Carolina State University, a publié une étude montrant que les systèmes publicitaires inclus dans de nombreuses applications Android mettent en danger la vie privée des utilisateurs. Environ la moitié de ces systèmes surveillent la position GPS d'un utilisateur, et certains collectent également des journaux d'appels et d'autres données sensibles (voir Android Ads could Attack, Study Warns ).
Jiang, qui a découvert d'autres failles de sécurité et de confidentialité avec les applications mobiles, a déclaré que Mobilescope sera un nouvel outil intéressant pour garder un œil sur les applications. Cependant, il ajoute qu'il ne peut pas être garanti de tout attraper, et dit que la confidentialité mobile ne peut être améliorée qu'avec une plus grande transparence de la part des développeurs, des déclarations de confidentialité améliorées et des actions de la part des créateurs de systèmes d'exploitation mobiles. [Nous] avons besoin de mécanismes pour que les utilisateurs contrôlent réellement l'accès des applications à diverses informations personnelles, dit-il.
Justin Brookman , qui dirige les activités de confidentialité des consommateurs au Center for Democracy and Technology, affirme que cela nécessitera des modifications de la loi, qui encourage actuellement simplement les entreprises à rédiger des politiques de confidentialité très larges pour éviter les pénalités pour la rédaction de fausses.
Les divulgations détaillées sont en fait dissuadées par la loi, dit-il. Le CDT tente d'introduire une législation qui oblige plutôt les entreprises à dire explicitement aux consommateurs ce qu'il advient de leurs données et à leur fournir plus de contrôle sur celles-ci.