Developpez.com

Le Club des Développeurs et IT Pro

Android : deux tiers des applications populaires détourneraient des informations

Privées, d'après Intel Labs

Le 2010-09-30 11:47:07, par Idelways, Expert éminent sénior
Connaitre les ressources et données auxquelles une application Android peut accéder est-il suffisant pour garantir la protection de la vie privée ?

Pas du tout. C'est en tout cas la conclusion d'une nouvelle étude menée par des chercheurs des Intel Labs, de l'Université de Pennsylvanie et de l'Université Duke (Caroline du nord).
Une étude qui vient s'ajouter à celle de SMobile Systems (un rapport qui pose par ailleurs question).

Cette étude repose sur « TaintDroid », un outil de proof-of-concept conçu spécialement pour analyser les manipulations des données, et sur 30 applications Android parmi les plus populaires.

TaintDroid analyse en temps réel les données sensibles collectées : positionnement GPS, numéro de téléphone, liste des contacts, le numéro d'identité internationale d'équipement mobile (IMEI) ou le numéro de série de la carte SIM.

Et les résultats sont, c'est le moins qu'on puisse dire, surprenants.

Pour télécharger une application Android, l'utilisateur doit certes valider une boite de dialogue listant les données et les ressources qui seront accessible à l'application. Mais cette liste n'explique pas ce que l'application fera - au juste - des données exposées.

Selon cette nouvelle étude, c'est bien là le problème. Deux tiers d'entre elles utiliseraient ces données de manière suspecte.

La moitié partagerait ainsi les données de positionnement à des compagnies de publicité ou à des serveurs d'analyse sans "le consentement explicite ou implicite de l'utilisateur".

Plus préoccupant, le tiers des applications étudiées révèleraient l'identifiant du Smartphone, parfois même accompagné du numéro de téléphone ou du numéro de série de la carte SIM.

En tout, les chercheurs ont trouvé 68 processus de détournement potentiel des données privées dans seulement 20 applications.

Pourtant, les applications doivent contenir un « Contrat de Licence Utilisateur Final (CLUF).

Or seule une partie des applications analysées (une minorité) affichent ce contrat sur le téléphone. Et parmi elles, aucune n'explique clairement l'usage qui sera fait des données manipulées.

De quoi pousser à revoir en profondeur le système de permission de l'OS de Google ?

Source : le rapport de l'étude (PDF, 840KO)

Et vous ?

Que pensez-vous de ces résultats ?
Quels changement dans le fonctionnement de l'Android Market préconiseriez-vous pour prévenir ces fuites d'informations ?

En collaboration avec Gordon Fowler
  Discussion forum
16 commentaires
  • _skip
    Expert éminent
    Perso j'ai renoncé à utiliser une application de clavier pour mon HTC parce que celle-ci demandait l'accès internet.
    Un accès internet pour un outil censé customiser son clavier hum... Ca sentait légèrement le keylogger.
    le 30/09/2010 à 13:36
  • seeme
    Membre éclairé
    Ces résultats ne me surprennent absolument pas...

    Quand je vois certaines applications qui ont besoin de ressources pour afficher 2 images.. Ça pose un problème.

    On a accès à énormément d'informations quand on développe sous android, et la possibilité de manipulation des données est très grande (envoie à des serveurs tiers, analyse directement sur le téléphone..).

    Même si les éditeurs ajoutaient un message pour justifier l'utilisation de certaines permissions, je ne pense pas que ça changerait grand chose...

    Exemple, il existe une permission brick qui permet de briquer le téléphone (utilisée pour du débogage, ce genre de choses). Je ne pense pas qu'on puisse publier une application sur le market avec cette permission, mais je suis sûr que beaucoup de gens l'installeraient sans se poser de question si le contenu est.. aguicheur par exemple..

    La seule solution serait un contrôle humain systématique (au moins pour voir qu'un logiciel boiteàmeuhesque n'a pas besoin du numéro de carte sim, de l'imei et de la position satellite...).
    le 30/09/2010 à 12:01
  • Sylvaner
    Membre éprouvé
    En gros si on donne un accès internet pour Admob (Régie de pub), on va se retrouver dans son cas... L'application n'ayant pourtant pas pour but de détourner des informations.

    Je pense en effet, qu'il y a des applications malhonnêtes mais faudrait peut être pas les mettre toutes dans le même panier sous prétexte qu'elles utilisent une permission mal comprise.
    le 01/10/2010 à 11:27
  • seeme
    Membre éclairé
    Je pense surtout que les permissions ne sont pas assez détaillées.

    Par exemple, READ_PHONE_STATE permet de voir bien plus de chose que simplement "En communication/hors communication"..

    Les 3/4 des gens pensent juste que c'est pour interrompre un jeu si on reçoit une communication.. (donc déjà, ça c'est régi par l'OS) sauf que ça permet aussi de lire les SMS, les mails, d'enregistrer de l'audio...
    le 01/10/2010 à 11:59
  • yezhouden
    Membre régulier
    Dommage, le nom des applications n'est pas communiqué (ou alors j'ai mal lu).
    le 30/09/2010 à 13:57
  • air-dex
    Membre expert
    Envoyé par Idelways

    Quels changement dans le fonctionnement de l'Android Market préconiseriez-vous pour prévenir ces fuites d'informations ?
    La politique de confidentialité du propriétaire.

    De toutes façons, même s'il y avait un CLUF qui précise que l'appli a accès à ces données, le problème ne pourrait pas être résolu. Le plus important pour celui qui achète cela, c'est la boîte à meuh et pas cette autorisation de BigBrothage ennuyeuse à lire.
    le 30/09/2010 à 14:00
  • Guildem
    Membre habitué
    Envoyé par _skip
    Perso j'ai renoncé à utiliser une application de clavier pour mon HTC parce que celle-ci demandait l'accès internet.
    Un accès internet pour un outil censé customiser son clavier hum... Ca sentait légèrement le keylogger.
    Bah le mien (swift key, super bien fait au passage) en a besoin pour télécharger et mettre à jour la liste des mots et l'analyse des phrases pour la langue choisie, donc c'est justifié je trouve. A moins que je comprenne mal l'application que tu désignes par "un outil censé customiser son clavier" ?
    le 30/09/2010 à 14:03
  • Julien Bodin
    Membre éclairé
    Envoyé par Guildem
    Bah le mien (swift key, super bien fait au passage) en a besoin pour télécharger et mettre à jour la liste des mots et l'analyse des phrases pour la langue choisie, donc c'est justifié je trouve. A moins que je comprenne mal l'application que tu désignes par "un outil censé customiser son clavier" ?
    +1, superbe appli
    le 30/09/2010 à 14:17
  • Elepole
    Membre éprouvé
    Envoyé par Idelways


    Que pensez-vous de ces résultats ?

    Previsible.

    Envoyé par Idelways


    Quels changement dans le fonctionnement de l'Android Market préconiseriez-vous pour prévenir ces fuites d'informations ?

    C'est pas le Market qu'il faudrait changé mais Android lui même, quel genre d'application a besoin d'avoir acces a l'IMEI ou au numero de serie de la carte sim ? Il devrait pas etre possible de manipuler ce type de donné dans une application.
    le 01/10/2010 à 0:27
  • seeme
    Membre éclairé
    Envoyé par Elepole
    Previsible.

    C'est pas le Market qu'il faudrait changé mais Android lui même, quel genre d'application a besoin d'avoir acces a l'IMEI ou au numero de serie de la carte sim ? Il devrait pas etre possible de manipuler ce type de donné dans une application.
    Dans certains cas tu as besoin de ces informations! L'imei est par exemple un des seul moyen d'identifier un téléphone (et donc de fabriquer des hash ou des clef de sécurité..)
    le 01/10/2010 à 9:23
  Poster une réponse