Vous voulez suivre les gens ? Il y a une application pour ça

Plus de la moitié de toutes les applications iPhone collectent et partagent un code unique qui pourrait être utilisé pour suivre les utilisateurs à leur insu, selon une étude récente.





Manuel Egele, doctorant à l'Université technique de Vienne, et trois autres chercheurs ont examiné comment plus de 1 400 applications iPhone gèrent les données des utilisateurs. Seul un petit nombre a compromis de manière flagrante la confidentialité : 36 ont accédé à l'emplacement de l'appareil sans en informer au préalable l'utilisateur ; cinq autres données extraites du carnet d'adresses de l'utilisateur sans autorisation. La recherche sera présentée au Symposium sur la sécurité des réseaux et des systèmes distribués début février.

Cependant, plus de la moitié des applications iPhone étudiées ont collecté l'ID de l'appareil, un nombre hexadécimal à 40 chiffres identifiant un téléphone particulier. Plus de 750 des applications étudiées utilisaient une sorte de technologie de suivi. Dans environ 200 cas, le développeur a créé un moyen de suivre le code d'identification d'un appareil ; les autres applications ont utilisé cette fonctionnalité à partir d'une bibliothèque de logiciels de publicité ou de suivi. Les recherches d'Egele seront présentées au Symposium sur la sécurité des réseaux et des systèmes distribués début février.

Il existe un potentiel pour les entreprises qui ne sont pas trop légitimes pour créer des profils de leurs utilisateurs, dit Egele. L'identifiant [code] n'est pas lié à un nom d'utilisateur, mais vous pourriez le lier à un compte Facebook, et cela vous donnerait beaucoup d'informations sur l'utilisateur, y compris - la plupart du temps - son vrai nom.



Apple, qui a récemment célébré son 10 milliardième téléchargement sur l'App Store, vérifie les applications et oblige les développeurs à demander une autorisation pour accéder aux données des utilisateurs. Cependant, on sait peu de choses sur la façon dont l'entreprise vérifie chaque application.

Vous ne savez pas exactement à quoi servent ces applications : elles ne viennent pas de gros développeurs, elles viennent de gens ordinaires, explique Charlie Miller, expert en sécurité iPhone et analyste principal chez Independent Security Evaluators. L'iPhone limite automatiquement ce que les programmes peuvent faire à l'aide d'un soi-disant bac à sable, mais ces restrictions ne sont pas très strictes, ce qui signifie qu'il n'est pas difficile de collecter des données personnelles, dit Miller. Ils fonctionnent dans un bac à sable, mais c'est un bac à sable assez clément.

Les quatre chercheurs ont analysé 825 applications disponibles gratuitement sur l'App Store d'Apple et 582 autres applications sur le référentiel Cydia, un service qui met des logiciels à la disposition des utilisateurs qui ont supprimé les mesures de sécurité d'Apple de leurs iPhones, un processus connu sous le nom de jailbreak.



Egele et ses collègues ont défini une violation de la vie privée comme un incident au cours duquel un programme lit des données sensibles (adresses, numéros de téléphone, informations de compte de messagerie) à partir de l'appareil et envoie ces données sur Internet sans demander la permission. Les chercheurs n'avaient aucun moyen de découvrir si l'utilisateur avait été amené à donner son consentement.

La description de la confidentialité que nous avons proposée est que nous ne voulions pas que les données sensibles de l'appareil mobile soient extraites à l'insu de l'utilisateur, explique Egele. Mais nous ne pouvons pas dire s'il est malveillant ou non.

Les chercheurs ont développé un logiciel pour tester la fonctionnalité de chaque programme et pour déterminer s'il collectait et transmettait des informations sensibles sans en informer l'utilisateur. Ils ont également dû déchiffrer le fonctionnement de certaines applications avec seulement des informations limitées.



Un aperçu intéressant de la recherche : les applications de l'App Store étaient plus susceptibles d'accéder subrepticement aux données des utilisateurs que les applications du référentiel Cydia non contrôlé, explique Egele.

Miller dit qu'Apple devrait améliorer son processus de vérification des candidatures. Il n'y a pas de solution facile au problème, mais avoir un centre d'échange central (comme Apple) est la meilleure façon de le faire, dit-il. Mais pour le moment, Apple ne le fait probablement pas correctement.

cacher