Une application, quelle qu’elle soit devrait toujours demander la permission à l’utilisateur avant d’accéder aux données personnelles de celui-ci. Malheureusement, cette « barrière » n’est pas toujours efficace à 100% puisque certaines applis arrivent à collecter des données bien que la demande d’autorisation ait été refusée.
C’est en tout cas ce qu’a révélé une étude réalisée par des chercheurs de l’International Computer Science Institute.
Les chercheurs ont découvert que 1 325 applications Android continuaient à rassembler les données personnelles de l’utilisateur malgré le refus de l’autorisation d’accès. Ces données incluent par exemple la géolocalisation ou même les numéros d’identification du smartphone.
Prévenue sur les agissements de certaines de ses applications, l’entreprise Google a déclaré qu’elle allait offrir des solutions avec l’arrivée d’Android Q cette année.
88 000 applications analysées
L’étude a été menée sur 88 000 applications de Google Play Store. Les chercheurs ont analysé comment les données étaient transférées à partir des applications après que l’accès leur ait été refusé.
Les 1 325 applications Android qui violaient les autorisations utilisaient des solutions de contournement masquées dans leur code. Avec ce procédé, elles pouvaient continuer à collecter les données personnelles de sources comme la connexion Wifi ou les métadonnées contenues dans les photos.
Les moyens utilisés par les applications
Plusieurs méthodes sont utilisées par les applications pour « espionner » les utilisateurs à leur insu. Par exemple, les chercheurs ont découvert que Shutterfly, qui est une appli pour modifier des photos, collectait les coordonnées GPS attachées à ces dernières et les envoyait sur son serveur. Un porte-parole de la société a déclaré que Shutterfly ne collectait les coordonnées que si une permission lui était accordée par l’utilisateur, ce qui est à l’opposé de ce que les chercheurs ont observé.
Certaines applications se servent aussi des autorisations reçues par d’autres applis. Par exemple, elles accèdent sans permission à un fichier non-protégé sur la carte SD du smartphone, utilisé par une autre application pour stocker les données personnelles. Selon les résultats de l’étude, seulement 13 applis utilisent cette technique, mais elles ont été téléchargées plus de 17 millions de fois. Parmi elles, il y a l’application Hong Kong Disneyland Park de Badu.
De nos jours, la protection de la vie privée est un des aspects les plus importants recherchés par les usagers. Attendons alors de voir la réaction du public face aux résultats de cette étude qui a révélé les agissements de certaines applications Android.