La vérité sur les applications pour smartphone qui se connectent secrètement au suivi des utilisateurs et aux sites publicitaires

Il existe essentiellement deux environnements très différents dans lesquels télécharger des applications. Le premier est l'App Store d'Apple, qui vérifie soigneusement les applications avant de n'autoriser que celles jugées aptes à apparaître. Le second est le Google Play Store, qui est plus ouvert car Google exerce une approche plus légère dans la vérification des applications, en excluant uniquement celles qui sont manifestement malveillantes.





Mais comme Google Play est plus ouvert, les applications qu'il propose couvrent une gamme de qualité beaucoup plus large. Beaucoup se connectent à des sites liés à la publicité et à des sites de suivi, tandis que certains se connectent à des sites beaucoup plus douteux associés à des logiciels malveillants.

Mais voici le problème : cette activité se déroule souvent sans que le propriétaire soit au courant de ce qui se passe. C'est quelque chose que la plupart des utilisateurs de smartphones seraient consternés de découvrir, s'ils en étaient capables.

Aujourd'hui, Luigi Vigneri et ses copains d'Eurecom en France ont une solution. Ces gars-là ont mis au point un moyen automatisé de vérifier les applications dans Google Play et de surveiller les sites auxquels ils se connectent. Et leurs résultats révèlent l'extraordinaire ampleur des connexions secrètes que de nombreuses applications établissent sans que leurs propriétaires en soient plus avertis.



Vigneri and co a commencé par télécharger plus de 2 000 applications gratuites dans les 25 catégories de la boutique Google Play. Ils ont ensuite lancé chaque application sur un Samsung Galaxy SIII exécutant la version Android 4.1.2 qui a été configurée pour canaliser tout le trafic via le serveur de l'équipe. Cela a enregistré toutes les URL que chaque application a tenté de contacter.

Ensuite, ils ont comparé les URL à une liste de sites liés à la publicité connus à partir d'une base de données appelée EasyList et d'une base de données de sites de suivi des utilisateurs appelée EasyPrivacy, toutes deux compilées pour le projet open source AdBlock Plus. Enfin, ils ont compté le nombre de correspondances sur chaque liste pour chaque application

Les résultats rendent la lecture intéressante. Au total, les applications se connectent à 250 000 URL différentes sur près de 2 000 domaines de premier niveau. Et tandis que la plupart tentent de se connecter à une poignée de sites de publicité et de suivi, certains sont beaucoup plus prolifiques.



Vigneri et co donnent comme exemple Music Volume Eq, une application conçue pour contrôler le volume, une tâche qui ne nécessite aucune connexion à des URL externes. Et pourtant, l'application fait de nombreuses connexions. Nous constatons que l'application Music Volume EQ se connecte à près de 2 000 URL distinctes, disent-ils.

Et il n'est pas seul dans ses excès. L'équipe affirme qu'environ 10 % des applications testées se connectent à plus de 500 URL différentes. Et neuf sur 10 des domaines liés aux publicités les plus fréquemment contactés sont gérés par Google.

Les sites de suivi des utilisateurs auxquels les applications se connectent sont moins répandus. Plus de 70 % des applications ne se connectent à aucun site de suivi des utilisateurs. Mais ceux qui le font peuvent être extravagants, certains se connectant à plus de 800 sites de suivi des utilisateurs. De plus, bon nombre d'entre eux sont créés par des organisations que Google a désignées avec le statut de développeur de premier plan. Le pire contrevenant est une application appelée Eurosport Player qui se connecte à 810 sites de suivi d'utilisateurs différents.



Une petite partie des applications semblent même conçues pour se connecter à des sites suspects liés à des logiciels malveillants.

La plupart des utilisateurs de ces applications auront peu ou pas de connaissances sur ce type de comportement. Vigneri et co ont donc développé leur propre application qui surveille le comportement des autres sur le smartphone d'un utilisateur et révèle exactement à quels sites externes ces applications tentent de se connecter.

Ils appellent leur nouvelle application NoSuchApp ou NSA en abrégé en l'honneur d'une agence de surveillance au même sigle.



Cela devrait donner confiance aux utilisateurs d'Android dans les applications qu'ils utilisent. Avec cette application, notre objectif est de fournir un mécanisme permettant aux utilisateurs finaux d'être au courant de l'activité réseau de leurs applications Android installées, disent Vigneri et co.

L'équipe prévoit de rendre l'application accessible au public sur Google Play dans un proche avenir.

Réf : arxiv.org/abs/1504.06093 : Apprivoiser l'AppStore Android : Caractérisation allégée des applications Android

cacher