211service.com
Une étude montre que de nombreuses applications iPhone défient les conseils de confidentialité d'Apple
En 2011, Apple a conseillé aux applications iPhone et iPad de cesser d'enregistrer les identifiants uniques des appareils des utilisateurs, une pratique qui peut être exploitée pour créer des profils à des fins de ciblage publicitaire. Mais une nouvelle étude menée par des chercheurs de l'Université de Californie à San Diego, suggère que de nombreuses applications le font toujours.

Tu décides: Les chercheurs ont développé une application capable de détecter et de bloquer de manière sélective les données personnelles auxquelles les applications iPhone peuvent accéder.
Au MobiSys conférence à Taïwan cette semaine, les chercheurs présenteront les données recueillies à partir de 225 000 applications installées sur 90 000 iPhones ordinaires. Leur analyse montre qu'entre février 2012 et décembre 2012, 48% de ces applications ont accédé à l'identifiant unique de l'appareil, ou UDID, du téléphone sur lequel elles étaient installées. Le papier complet est disponible en ligne (PDF) .
Le système d'exploitation mobile d'Apple, iOS, ne permet généralement pas aux applications de se surveiller les unes les autres. Les informations ont donc été recueillies auprès d'utilisateurs d'iPhones jailbreakés, sur lesquels les contrôles habituels d'Apple ont été désactivés pour permettre la modification de l'appareil et l'installation d'applications non proposées par Apple. Magasin d'applications. Les chercheurs affirment que leurs résultats sont pertinents pour tous les utilisateurs d'iPhone, car une grande majorité des applications utilisées sur des appareils jailbreakés sont les mêmes que celles utilisées sur des téléphones non modifiés.
L'application qui a collecté les données s'appelle ProtégerMaConfidentialité . Une fois installé, il détecte les données auxquelles les autres applications d'un téléphone tentent d'accéder. Si une application essaie d'accéder à des données potentiellement sensibles, ProtectMyPrivacy en informe le propriétaire du téléphone, qui peut choisir de bloquer sélectivement cet accès. Les utilisateurs peuvent choisir d'empêcher, par exemple, une application particulière d'accéder à leurs contacts, leur emplacement ou leur UDID ; ils peuvent également appliquer des recommandations automatiques concernant ce qu'il faut bloquer ou autoriser pour des applications particulières. La nouvelle étude est basée sur les données collectées auprès des utilisateurs qui ont choisi de partager des informations anonymisées de ProtectMyPrivacy.
HISTOIRES CONNEXES Consultez d'autres articles fournis par Symantec :
• Mobilité d'entreprise
• Conseillers mobiles sécurisés
• Étude de cas : Quest Diagnostics mobilise ses cliniciens et ses commerciaux
Depuis le 1er mai, la politique officielle d'Apple est de rejeter les applications qui accèdent à l'UDID d'un appareil , mais on ne sait pas dans quelle mesure cette règle est strictement appliquée. Yuvraj Agarwal , qui a dirigé l'étude UCSD avec son collègue Malcolm Hall, a déclaré qu'il avait découvert qu'environ 40 % des applications sur les téléphones sur lesquels ProtectMyPrivacy était installé tentaient toujours d'accéder à l'UDID d'un appareil. Certaines de ces applications ont été mises à jour depuis le 1er mai, dit-il, ce qui signifie qu'une nouvelle version a été téléchargée sur l'iTunes Store d'Apple. Cela suggère soit qu'Apple n'attrape pas toutes les applications qui accèdent à UDID, soit qu'il en laisse passer certaines même si elles sont connues pour le faire.
Agarwal appelle l'image que lui et Hall ont découverte stupéfiante. Les applications peuvent toujours accéder à l'UDID car, pour éviter de casser les anciennes applications, l'entreprise n'en a pas bloqué l'accès dans la dernière version de son logiciel mobile, iOS6. Je pense que beaucoup d'applications [enregistrent toujours l'UDID] simplement parce que [l'interface de programmation d'application] est disponible, dit Agarwal.
Jeremy Linden, chef de produit sécurité à la société de sécurité mobile Chercher , affirme que même si les fabricants d'applications respectent les directives d'Apple concernant les UDID, ils disposent d'autres moyens de suivre leurs utilisateurs. Par exemple, l'enregistrement du code unique attribué à la puce Wi-Fi d'un appareil, appelé adresse MAC, pourrait être utilisé pour suivre un appareil sur différents réseaux publicitaires et services d'analyse, dit-il. Et il n'y aurait aucun moyen de se retirer.
L'accès UDID disparaîtra sur les appareils mis à niveau vers le nouveau logiciel iOS7 d'Apple, qui sortira à la fin de cette année. Linden dit qu'Apple semble également prendre d'autres mesures dans iOS7 pour empêcher les applications de suivre les actions des utilisateurs. D'après ce que je comprends, ils éliminent tout accès aux identifiants uniques des appareils, dit-il. C'est excellent pour la confidentialité des utilisateurs et donne l'exemple à l'industrie.
Apple a également créé un identifiant dédié pour les applications qui souhaitent suivre les utilisateurs. IDFA (pour identifiant publicitaire) est destiné à offrir de meilleurs contrôles de confidentialité. Les utilisateurs peuvent réinitialiser leur IDFA à tout moment pour des raisons de sécurité ou de confidentialité, et il se connecte également à une fonction de suivi publicitaire limité dans iOS.
Un problème qui restera, cependant, est que l'écosystème logiciel relativement fermé de l'entreprise rend difficile pour les chercheurs indépendants tels qu'Agarwal d'examiner exactement ce que font les applications sur les appareils Apple. La plupart des universitaires intéressés par la sécurité mobile et la confidentialité travaillent plutôt sur le système d'exploitation Android de Google ; Le logiciel de Google est plus facile à bricoler et les logiciels qui ne sont pas proposés via la boutique de logiciels de Google peuvent toujours être installés sur un téléphone Android. Il est également plus facile pour les applications de recherche d'accéder à la boutique d'applications mobiles de Google.
Agarwal dit qu'il a soumis une application à l'Apple Store officiel qui permettrait aux gens de rechercher les données que ProtectMyPrivacy avait collectées sur les applications qu'ils utilisaient, mais elle a été rejetée. Lorsqu'un employé d'Apple a appelé pour discuter de la question, a déclaré Agarwal, il a demandé ce qui devait changer pour que l'application soit acceptée, mais on lui a répondu : Nous avons un problème avec le concept de l'application.
Apple n'a pas répondu à une demande de commentaire sur l'étude UCSD au moment de la publication.