Un nouveau scandale pour Google et Android sur l’utilisation des données privées. Des applications ont réussi à contourner les interdictions d’accès à certaines données pour les récolter quand même. Elles seraient plus de 1 000.

Les données utilisateurs sont devenues une denrée inestimable pour les entreprises. De plus en plus d’histoires d’applications qui abusent de cette récolte de données. Cela mène à se poser des questions sur notre vie privée et la façon dont elle est gérée par ces entreprises.

Sur Android, une application doit demander la permission à l’utilisateur pour accéder à certaines données comme la localisation, le journal d’appels ou encore le stockage interne. S’il refuse, l’application ne pourra pas en profiter. Cependant, plus de 1 000 d’entre elles auraient trouvé un moyen de contourner ceci…

Les métadonnées des photos comme meilleur ami

L’une des techniques dévoilées par la recherche menée par l’International Computer Science Institute est celle utilisée par l’application de retouche photo Shutterfly (téléchargée 5 millions de fois sur le Play Store). Si l’accès à la localisation de l’appareil lui est désactivé, elle utilisera donc les métadonnées de l’image.

Souvent, lorsque l’on prend une photo, un système de localisation est activé pour inscrire dans les métadonnées le lieu de la prise du cliché. C’est ici que Shutterfly va se servir, ayant besoin de l’accès au stockage pour être utilisée, elle en profite pour se balader dans les métadonnées de celles-ci pour transférer les localisations sur ses serveurs. CNET a relayé la réponse d’une porte-parole de l’entreprise qui dément totalement ces accusations.

Pas d’accès, pas de problème, les autres en ont

Certaines applications allaient bien plus loin. N’ayant pas accès à certaines données d’identification du smartphone, par exemple le numéro IMEI, elles attendaient que vous donniez cet accès à d’autres applications. Celles-ci pourraient alors récolter ces données et les sauvegarder.

Ensuite, il suffit à l’application voulant les récupérer d’avoir accès au stockage interne et d’aller tranquillement retrouver où les données récoltées par l’autre sont stockées.

Parmi les applications incriminées, on a les applications officielles des parcs Disneyland de Hong Kong et Shanghai (plus de 100 000 téléchargements sur le Play Store chacune) qui envoyaient ensuite ces données sur les serveurs de Baidu, géant chinois du web.

Parmi les applications ayant également accès à ces données, il y a Samsung Health (plus de 500 millions de téléchargements sur le Play Store) ou encore Samsung Internet Browser (plus d’un milliard de téléchargements sur le Play Store).

Google a été informé de ces problèmes et devrait agir pour éviter ce genre d’abus sur Android 10 Q. Vous pouvez lire le rapport complet de l’ICSI rapportant 1 325 applications abusant et contournant les limitations de récolte de données.

Google : comment activer la suppression automatique de ses données web et de localisation