Une étude révèle que les applications Android collectent vos données, même après leur avoir révoqué l’autorisation

Lorsque vous refusez à une application mobile l’autorisation de collecter des données personnelles sur votre téléphone, il est normal de s’attendre à ce qu’elle s’y plie. Mais une nouvelle étude révèle que ce n’est pas toujours le cas.

Des applications contournent les interdictions des utilisateurs pour collecter des données. Crédit : iStock/ljubaphoto.

Une enquête du centre de recherche International Computer Science Institute, partenaire de l’Université de Californie à Berkeley révèle que des milliers d’applications populaires du Google Play Store peuvent contourner l’interdiction des utilisateurs de collecter leurs données. « Nous avons découvert un certain nombre de canaux latéraux et cachés utilisés activement par des centaines d’applications populaires et de SDK tiers afin d’obtenir un accès non autorisé à des identifiants uniques ainsi qu’à des données de géolocalisation. » annoncent les chercheurs.

Les chercheurs ont téléchargé et analysé les applications les plus populaires dans chaque catégorie du Google Play Store, soit plus de 88 000 au total. Ils ont découvert qu’environ 60 applications Android, téléchargées des millions de fois, utilisaient cette technique de « canaux dérobés » et que beaucoup d’autres étaient construites avec un code qui pouvait leur permettre de faire de même.

Les applications utilisent des canaux dérobés pour accéder aux données utilisateurs.

Des méthodes multiples d’exploitation des données

Autre cas parmi les milliers d’applications restantes, certaines étaient autorisées à accéder à des informations telles que les données de localisation, les stockaient sur la carte SD du téléphone, où des applications sans autorisations appropriées pouvaient y accéder.

Dans d’autres cas, ce sont cette fois les utilisateurs qui ont techniquement donné à l’application l’accès aux données sans comprendre exactement ce à quoi ils consentaient. Par exemple, les photos incluent souvent des métadonnées telles que l’heure et l’emplacement où elles ont été prises, ce qui signifie qu’une application peut afficher l’emplacement de l’utilisateur même sans autorisation.

Des procédés opaques

« Ces pratiques trompeuses permettent aux développeurs d’accéder aux données privées des utilisateurs sans consentement, ce qui compromet leur vie privée et suscite des préoccupations juridiques et éthiques« , ont écrit les chercheurs.

L’étude souligne également que les autorisations Android rendaient la tâche difficile quand il s’agissait de découvrir comment une application partageait les informations et dans quelles circonstances, même lorsque les utilisateurs acceptaient de partager des données.

Google tente de rassurer pour sa mise à jour Android Q

Les chercheurs ont contacté Google pour faire part de leurs découvertes, et l’entreprise leur a versé une prime pour leur travail. Google indique que les problèmes seront traités dans la prochaine grande mise à jour d’Android, appelée Android Q, qui est attendue plus tard cette année.

La firme a notamment expliqué que les données de localisation des photos seraient masquées par défaut. La mise à jour exigera également que les applications qui collectent des informations sur les points d’accès Wi-Fi (qui, d’après les chercheurs, sont de facto des données de localisation) disposent d’autorisations de localisation.

Recevez par email toute l’actualité du digital