Face à la montée des cyberattaques, le FBI et la CISA recommandent d’arrêter d’envoyer des SMS entre utilisateurs d'iPhone et d'Android. Un conseil qui ne vise pas seulement les Américains mais tous les...
Une découverte inquiétante. Pour s’assurer du respect des engagements sur les informations privées, des chercheurs de l’Institut international des sciences informatiques (ICSI), dépendant de l’Université de Berkeley, ont passé au crible 88 000 applications sur Android. En principe, lors de l’installation d’une application mobile, l’accès à plusieurs types de données, comme les photos, les contacts, la géolocalisation ou encore le micro, est demandé. L’utilisateur décide d’accepter ou de refuser la requête.
Or, selon l’étude de l’ICSI, plusieurs centaines d’applications parviennent à contourner le blocage sur le système d’exploitation de Google, rapporte Le Figaro. Ainsi, en plus de pouvoir accéder à vos informations, ils peuvent aussi vous localiser.
Mobile : 1 325 applications intrusives
Si l’étude a été dévoilée en avant-première lors d’une conférence sur la cybersécurité "la PrivacyCon", organisée par le gendarme américain des consommateurs (FTC), la liste précise des 1 325 logiciels intrusifs, sera, elle, publiée en août prochain. Selon média spécialisé CNET, c’est Serge Egelma, le directeur de la recherche sur la sécurité et la confidentialité à l’ICSI, qui en a la charge.
Le rapport met par ailleurs en lumière différents cas. Des applications sont par exemple capables de communiquer entre elles lorsqu’elles sont conçues sur les mêmes briques logicielles. En particulier lorsque deux logiciels usent le même kit de développement (SDK), comme ceux établis par le constructeur chinois Baidu ou la société d’analyse Salmonads.
Mobile : des centaines de milliers de téléchargements concernés
Ici, le programme qui n’a pas obtenu les autorisations de l’utilisateur va pouvoir détourner le problème en accédant aux informations d’une deuxième application similaire. Il pourra ainsi connaître le numéro IMEI du téléphone (identifiant unique à chaque appareil), pouvant servir à sa localisation. D’autres données stockées sur la carte SD du smartphone sont aussi consultables.
Parmi les 150 logiciels Android fondés sur les kits de développement de Baidu et Salmonad, les chercheurs précisent que plusieurs appartiennent à Disney et à Samsung. Cela concerne donc des centaines de millions de téléchargements.
Mobile : le Wi-Fi en cause
Grâce à une faille, d’autres logiciels réussissent à connaître l’identifiant MAC (numéro unique sur chaque carte réseau ) en passant par une connexion Wi-Fi. Cette information leur permet de vous localiser. D’après les experts, si une cinquantaine d’applications exploitent cette vulnérabilité, près de 12 500 logiciels en ont les capacités informatiques.
Alerté par l’ICSI, Google a indiqué déployer des correctifs sur Android Q, la dixième et dernière version du système d’exploitation, en test public depuis mars dernier.
Toutefois, celui-ci ne concernera pas les versions précédentes. Une situation insatisfaisante pour Serge Egelman. "Google affirme que le respect de la vie privée ne devrait pas être un luxe, mais [en déployant son correctif seulement pour Android Q], ça semble être le cas", juge le chercheur.