Une équipe de chercheurs de l'université d'Édimbourg et du Trinity College de Dublin a publié un article dans lequel elle analyse le trafic transmis par un certain nombre d'applications préinstallées sur des smartphones de fabrication chinoise. Les résultats ont été publiés dans l'article intitulé Android OS Privacy Under the Loupe - A Tale from the East, au début du mois. L'analyse des smartphones dotés d'un micrologiciel conçu pour le marché chinois révèle qu'ils sont équipés d'applications préinstallées qui transmettent des données sensibles à la vie privée à des domaines tiers sans consentement ni préavis. Cette situation soulève des inquiétudes quant à la façon dont la Chine peut surveiller les citoyens au-delà de ses frontières.Haoyu Liu (Université d'Édimbourg), Douglas Leith (Trinity College Dublin), ainsi que Paul Patras (Université d'Édimbourg) ont réalisé l'étude, qui implique également que la fuite d'informations personnelles représente un danger de traçabilité important pour les clients de téléphones mobiles en Chine, également lorsqu'ils se rendent à l'étranger dans des pays où la réglementation en matière de protection de la vie privée est plus stricte. Dans un document intitulé "Android Software Privacy Underneath the Loupe - A Story from the East", le groupe de chercheurs universitaires a étudié les applications du système d'exploitation Android placées sur trois revendeurs de téléphones intelligents en Chine : OnePlus, Xiaomi, ainsi que Oppo Realme.
« La Chine est actuellement le pays qui compte le plus grand nombre d'utilisateurs de smartphones Android. Nous utilisons une combinaison de techniques d'analyse de code statique et dynamique pour étudier les données transmises par les applications système préinstallées sur les smartphones Android de trois des fournisseurs les plus populaires en Chine », ont écrit les chercheurs dans le résumé de l'article.
Les chercheurs notent que, bien que toutes leurs analyses aient été menées sur des téléphones achetés en Chine, ils reconnaissent que les combinés peuvent se comporter différemment s'ils détectent qu'ils se trouvent en dehors de la Chine. Pour en tenir compte, les chercheurs ont mis en place un tunnel réseau entre leur installation et une instance de Huawei Cloud à Shanghai. « L'adresse IP observée par le serveur dorsal est donc celle du serveur Huawei Cloud situé à Shanghai. Nous avons configuré chaque combiné en utilisant le chinois comme langue afin de simuler un utilisateur local », peut-on lire dans le document.
Les chercheurs ont examiné spécifiquement les informations transmises par le système d'exploitation et les apps système, afin d'exclure les logiciels installés par l'utilisateur. Ils supposent que les utilisateurs ont refusé les analyses et la personnalisation, qu'ils n'utilisent pas de stockage dans le cloud ou de services tiers optionnels, et qu'ils n'ont pas créé de compte sur une plateforme gérée par le développeur de la distribution Android. Une politique sensée, mais qui ne semble pas être d'une grande aide.
L'ensemble d'applications préinstallées se compose du package Android AOSP, de code fournisseur et de logiciels tiers. Selon le document, plus de 30 logiciels tiers sont présents dans chacun des appareils Android dotés d'un micrologiciel chinois. Parmi eux, des applications de saisie en chinois comme Baidu Input, IflyTek Input et Sogou Input sur le Xiaomi Redmi Note 11. Sur le OnePlus 9R et le Realme Q3 Pro, il y a Baidu Map comme application de navigation de premier plan et le paquet AMap, qui fonctionne en permanence en arrière-plan. Et il y a aussi diverses applications d'actualités, de streaming vidéo et d'achat en ligne regroupées dans le firmware chinois.
Dans ce cadre limité, les chercheurs ont constaté que les téléphones Android des trois fournisseurs cités « envoient une quantité inquiétante d'informations personnelles identifiables (PII) non seulement au fournisseur de l'appareil mais aussi à des fournisseurs de services comme Baidu et à des opérateurs de réseaux mobiles chinois ».Les téléphones testés envoyaient les données même lorsque ces opérateurs de réseau ne fournissaient pas de service, aucune carte SIM n'était présente ou la carte SIM était associée à un opérateur de réseau différent.
« Les données que nous observons en cours de transmission comprennent des identifiants persistants d'appareils (IMEI, adresse MAC, etc.), des identifiants de localisation (coordonnées GPS, ID cellulaire du réseau mobile, etc.), des profils d'utilisateurs (numéro de téléphone, schémas d'utilisation des applications, télémétrie des applications) et des connexions sociales (historique/heure des appels/SMS, numéros de téléphone des contacts, etc.)… Combinées, ces informations présentent de sérieux risques de désanonymisation de l'utilisateur et de suivi étendu, d'autant plus qu'en Chine, chaque numéro de téléphone est enregistré sous un identifiant citoyen », indiquent les chercheurs dans leur article.
À titre d'exemple, les chercheurs affirment que le téléphone Redmi envoie des requêtes postales à l'URL "tracking.miui.com/track/v4" chaque fois que les apps préinstallées Paramètres, Note, Enregistreur, Téléphone, Message et Appareil photo sont ouvertes et utilisées, Les données sont envoyées même si les utilisateurs désactivent l'option "Envoyer les données d'utilisation et de diagnostic" lors du démarrage de l'appareil.
Selon les chercheurs, la collecte de données à partir de ces appareils ne change pas lorsque ceux-ci quittent la Chine, même si les juridictions autres que l'Empire du Milieu appliquent des régimes de protection des données plus stricts. Selon les chercheurs, cela signifie que les fournisseurs de téléphones cités et certains tiers peuvent suivre les voyageurs et les étudiants chinois à l'étranger et en savoir plus sur leurs contacts à l'étranger.
Les chercheurs ont également constaté qu'il y a trois à quatre fois plus d'applications tierces préinstallées sur les distributions Android chinoises que sur les Android de base des autres pays. Et ces applications obtiennent huit à dix fois plus d'autorisations pour les applications tierces que les distributions Android provenant d'autres pays. « Dans l'ensemble, nos résultats donnent une image troublante de l'état de la confidentialité des données des utilisateurs sur le plus grand marché Android du monde, et soulignent le besoin urgent de contrôles plus stricts de la confidentialité afin d'accroître la confiance des gens ordinaires dans les entreprises technologiques, dont beaucoup sont partiellement détenues par l'État », concluent les chercheurs.
Les chercheurs soulignent que Google et Apple collectent également des données, notamment l'IMEI, l'IMSI et des données télémétriques, auprès des utilisateurs en dehors de la Chine. Cependant, la quantité de données que les applications tierces envoient aux opérateurs de réseaux mobiles chinois et à des sociétés comme Baidu est incroyablement alarmante et alimente les craintes que la Chine puisse se faire une idée des autres par l'analyse des données glanées auprès des citoyens chinois en dehors du pays. Il s'agit néanmoins d'un sujet de préoccupation et, étant donné que les grandes entreprises technologiques dépendent de la collecte et de l'analyse des données, il est utile de garder un œil sur la façon dont nos données sont utilisées, non seulement en Chine, mais dans le monde entier.
Source : Cornell University
Et vous ?
Quel est votre avis sur le sujet ?Voir aussi :
La Chine lance un smartphone "inviolable" équipé d'une sécurité quantique, qui chiffre les données de l'utilisateur à l'aide de la distribution de clés quantiques Le Canada interdit à la société chinoise Huawei d'utiliser les réseaux 5G, alors que les États-Unis pressent leurs partenaires de renoncer aux équipements chinois Vous ne pouvez pas avoir d'applications Google sur votre téléphone Huawei parce que Donald Trump l'a dit Google dissipe la confusion et parle des produits Huawei concernés Les Etats-Unis accusent Huawei d'avoir volé la technologie de test de téléphone portable de T-Mobile, et vendu de la technologie américaine à l'Iran
