"50 manières de subtiliser vos données" : quand une étude démontre un accès illégitime de certaines applications Android !

C'est ce que vient de mettre en lumière une étude Universitaire concernant certaines applications Android qui outrepasserait les permissions, et ce, même si l'utilisateur a auparavant réfuté lesdites permissions...

 

 

L'étude en question porte sur le Play Store de Google Américain via une analyse de quelques 88 000 applications, toutes catégories confondues et a permis de dévoilé des canaux cachés (covert channels) ou encore l'obtention, conséquence directe, d'informations personnelles du terminal en question, telles que l'adresse MAC, l'IMEI ou encore la géolocalisation.

Si le listing détaillé des applications (1 325) ainsi vérolés sera publié d'ici Août prochain, selon les confidences  récentes de Serge Egelman (U. C. Berkeley - ICSI AppCensus Inc.) à CNnet.com le 8 Juillet dernier, en primeur, certains noms sont d'ores-et-déjà sortis de cette ombre gênante : c'est le cas pour Shutterfly et son application dédié qui exfiltrerait, depuis la bibliothèque de photos, en toute discrétion des métadonnées (EXIF) afin de connaître la position du terminal au sein duquel est installé ladite application. L'ensemble s'incarne en longitude et latitude via un fichier de type JSON directement envoyé sur les serveurs de l'entreprise.

 

D'autres applications (Samsung's Health, Browser ou encore des applications liées à Baidu voire Disneyland sont citées...) abuserait de la permission (toujours dans le cadre d'un accès non approuvé par l'utilisateur) liée à l'IMEI pour consulter ou espionner certaines parties du terminal mobile (quitte à créer un fichier spécialement pour cet effet !) comme les données sur une carte SD. Potentiellement, 153 applications en seraient actuellement capables dont une petite poignée (13) ce qui représenterait, toutefois, un nombre considérables puisque ces dernières sont téléchargées par millions...

"Comme de nombreux services photo, Shutterfly utilise ces données pour améliorer l'expérience utilisateur avec des fonctionnalités telles que la catégorisation et des suggestions de produits personnalisées, le tout conformément à la politique de confidentialité de Shutterfly et au contrat de développeur Android", a officiellement communiqué le fabricant qui nie les découvertes sécuritaires en la matière.

 

L'isolement et la gestion des permissions par type
de données, fichier ou contenu dans la prochaine version d'Android (Q).
(Source : Google I / O 2019).

Google a été notifié, bien évidemment, de l'affaire dès Septembre 2018, selon l'équipe de chercheurs. Le correctif viendra seulement avec une mise à jour du système mobile Android : en d'autres termes, via le déploiement d'Android Q (qui vient de passer en bêta 5) et, donc, selon les terminaux mobiles compatibles. Gageons que les nouveautés annoncées lors de la dernière Google I / O en matière de sécurité concernant la gestion des permissions et leur affinage (par média ou contenu / fichier) permettront de résoudre cette vulnérabilité... A suivre !

 

Source : FTC - Étude Universitaire sur les permissions illégitimes d'applications Android au sein du Play Store Américain.