IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des dizaines d'applications iOS regroupant des millions d'utilisateurs ont transmis des données de localisation
Sans en informer les utilisateurs

Le , par Stéphane le calme

610PARTAGES

11  1 
Un groupe de chercheurs en sécurité affirme qu'un nombre croissant d'applications iOS ont été utilisées pour collecter secrètement des historiques de localisation précise sur des dizaines de millions d'appareils mobiles, en utilisant du code fourni par des sociétés de monétisation de données. Dans de nombreux cas, le code de pistage empaqueté peut être exécuté à tout moment, en envoyant constamment des coordonnées GPS de l'utilisateur et d'autres informations.

Afin d'obtenir un accès initial à des données précises provenant des capteurs GPS de l'appareil mobile, les applications présentent généralement une justification plausible concernant l'application dans la boîte de dialogue d'autorisation des services de localisation, souvent avec très peu voire aucune mention du partage des données de localisation avec des entités tierces à des fins non liées aux opérations de l’application.

« Je crois que les gens devraient pouvoir utiliser n'importe quelle application sur leur téléphone sans crainte que l'accès à des données sensibles puisse signifier que ces données seront envoyées discrètement à une entité qu'ils ne connaissent pas et avec laquelle ils ne veulent pas traiter », a déclaré Will Strafach, l’un des chercheurs de l’équipe. Strafach a déclaré que les coordonnées de latitude et de longitude pouvaient permettre d’identifier le lieu de résidence ou le bureau d’un individu.

En utilisant des outils de surveillance du trafic réseau, l’équipe a trouvé 24 applications iPhone populaires qui collectaient des données de localisation (allant des balises Bluetooth aux noms de réseaux Wi-Fi) pour savoir où se trouve une personne et où elle se rend. Ces sociétés de monétisation de données collectent également d'autres données de périphérique à partir de l'accéléromètre, de l'état de charge de la batterie et des noms de l’opérateur téléphonique.

Ces entreprises paient souvent des développeurs d’applications pour collecter des données dans l’optique de développer leurs bases de données et souvent pour diffuser des annonces en fonction de l’historique de localisation des utilisateurs.

En voici quelques-unes

ASKfm : Ask Anonymous Questions

Comme son nom le suggère, il s’agit d’une application de questions / réponses anonymes destinée aux adolescents, qui dispose d’une base d’utilisateurs de plus de 215 millions de personnes sur iOS. Elle demande l’accès à l’emplacement de l’utilisateur qui ne sera « partagé avec personne » puis indique que « ASKfm a besoin de votre emplacement pour améliorer certaines fonctionnalités. Vous pouvez toujours changer cela plus tard dans les paramètres de votre appareil ». Mais l’application envoie ces données de localisation à deux entreprises de données, AreaMetrics et Huq.


MyRadar NOAA Weather Radar

L’application dispose de plus de 160 000 avis et dispose de plus de 35 millions de téléchargements à son actif. Elle figure d’ailleurs en troisième position dans le classement iOS des applications météo.

La fenêtre contextuelle de justification présentée aux utilisateurs lorsque l’application demandait un accès aux services de localisation, aux versions 6.0.1 (publiées le 29 juin 2018) et antérieures, indiquait que « MyRadar a également besoin de votre localisation pour afficher votre position sur la carte, comme pour les fonctionnalités avancées, y compris les avertissements météorologiques critiques. Voir la politique de confidentialité ».

La fenêtre contextuelle de justification présentée aux utilisateurs lorsque l’application demande un accès aux services de localisation depuis les versions 6.0.2 (publiées le 17 août 2018) indique que « MyRadar a également besoin de votre localisation pour afficher votre position sur la carte. Comme pour les fonctionnalités avancées, y compris les avertissements météorologiques critiques. Nous partageons également ces données avec des tiers à des fins de monétisation et d'analyse. Voir la politique de confidentialité pour plus de détails ».

Homes.com

Homes.com est une application immobilière sur iOS qui dispose de plus de 10 000 évaluations d'utilisateurs. Cette application contient le code de suivi d'emplacement de AreaMetrics. Le code de suivi d'emplacement est présent dès la dernière version de l'application (9.6.10, publié le 7 août 2018).

Cependant, les chercheurs précisent que le code AreaMetrics présent dans la dernière version de Homes.com semble être un ancien code datant d'une date inconnue en 2016, indiquant la possibilité que Homes.com ignore peut-être que leur application continue d'envoyer la longitude et la latitude GPS des utilisateurs de leur application.

La fenêtre contextuelle de justification présentée aux utilisateurs lorsqu'ils demandent un accès aux services de localisation affirme que « Nous utilisons l'emplacement pour trouver les maisons à proximité… vous pouvez toujours désactiver cette fonctionnalité ultérieurement ».

Perfect365

Perfect365 est une application de beauté à réalité augmentée pour iOS avec plus de 50 000 votes des utilisateurs et qui prétend disposer d’une base d’utilisateurs de plus de 100 000 000 de personnes. L’application contient du code de pistage d’au moins 8 sociétés de monétisation de données. Le code de suivi d’emplacement est présent même dans la dernière version de l’application (7.44.23, publiée le 3 septembre 2018).


La fenêtre contextuelle de justification présentée aux utilisateurs lorsque l’application demande un accès aux services de localisation affirme ceci : « Activez Perfect365 pour personnaliser votre expérience en fonction de votre emplacement et de bien plus encore. Voir notre politique de confidentialité pour plus de détails ».

L'équipe de GuardianApp a noté que Perfect365, dans au moins une version de leur application en 2018, contenait du code provenant de presque toutes les sociétés de monétisation de données de localisation connues.

La position de ces sociétés de monétisation

La plupart des sociétés de monétisation de données estiment qu’elles n’ont pas posé un acte répréhensible et surtout que les utilisateurs ont la possibilité de se retirer à tout moment. Elles exigeraient que les développeurs d'applications déclarent explicitement qu'ils collectent et envoient des données à des sociétés tierces.

Néanmoins, les recherches de l’équipe montrent que ces exigences ne sont presque jamais vérifiées.

Reveal a déclaré que les clients devaient « indiquer les cas d’utilisation des données de localisation dans leur politique de confidentialité » et que les utilisateurs pouvaient se désinscrire à tout moment. Huq, tout comme Reveal, a déclaré effectuer des « contrôles réguliers sur nos applications partenaires pour s’assurer qu’elles avaient mis en œuvre des mesures expliquant les services de la société ». AreaMetrics, qui collecte principalement des données de balises Bluetooth provenant de lieux publics tels que les cafés et les magasins de détail, déclare ne pas avoir d'intérêt à recevoir des données personnelles des utilisateurs.

Sense360 a déclaré que les données qu’il recueille sont anonymes et qu’elles requièrent le consentement explicite de ses utilisateurs, mais Strafach a déclaré que peu d’applications qu’il avait vues contenaient du texte visant à obtenir des assurances.

Cuebiq prétend utiliser une « méthode de cryptographie avancée » pour stocker et transmettre des données, mais Strafach a déclaré n'avoir trouvé « aucune preuve » que des données étaient chiffrées.

Source : GuardianApp

Et vous ?

Qu'en pensez-vous ?
Utilisez-vous l'une de ces applications ?

Voir aussi :

Une société de spyware a exposé des « téraoctets » de données personnelles, y compris des selfies, des messages texte et des données de localisation
Des chercheurs savent déterminer la localisation d'un possesseur de smartphone Android même lorsque le GPS est désactivé
Securus, l'entreprise qui permet aux policiers de surveiller la localisation en temps réel à travers les États-Unis, a été victime d'un piratage
États-Unis : les opérateurs téléphoniques vendent les données de localisation de leurs clients, à des parties tierces
La police de Raleigh a demandé des données de localisation Google pour identifier les suspects, dans des affaires criminelles

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de NotAèfka
Membre régulier https://www.developpez.com
Le 10/09/2018 à 8:38
Boarf... on s'en doutait bien que ça existait.
0  0