Archives par mot-clé : isEncrypted

Qui espionne le plus : iOS ou Android ?

Data Security Breach vient de finir de lire les résultats d’une analyse menée par BitDefender sur les comportements les plus intrusifs des applications Android et iOS. Après avoir analysé plusieurs centaines de milliers d’applications, l’étude révèle qu’elles sont tout aussi intrusives et indiscrètes sous iOS que sous Android. Alors que l’on pourrait penser l’un des deux systèmes d’exploitation plus intrusif que l’autre, il résulte que les données personnelles des utilisateurs d’appareils mobiles (contacts, adresses e-mail, localisation, etc.) sont aussi bien en danger sous Android que sous iOS. Le nombre d’applications analysées s’élève à 314 474 applications pour Android et 207 843 pour iOS.

Parmi ces comportements intrusifs et indiscrets, parfois intégrés par les développeurs d’applications eux-mêmes, DataSecurityBreach.fr a pu constater dans l’étude que 45,41 % des applications iOS intègrent des services de localisation contre 34,55 % sous Android. Avec une implantation et des formes d’utilisation similaires sur les deux plates-formes, ces ‘espions’ sont souvent demandés par les publicitaires et intégrés via des composants API (framework APIs) pour connaître les habitudes des utilisateurs. À ce stade de l’étude, seulement 7,69% des applications Android peuvent accéder à votre liste de contacts alors que les applications iOS se montrent davantage indiscrètes : 18,92 % sont techniquement capables de lire vos contacts. 14,58 % des applications Android peuvent divulguer l’identifiant de votre appareil et 5,73 % transmettre votre adresse e-mail. De nouveau, les applications iOS semblent recueillir plus de données personnelles que celles conçues pour Android.

Là aussi, ces informations sont très intéressantes pour les réseaux publicitaires et sont susceptibles d’être partagées ou revendues à des tiers pour, par exemple, l’envoi de publicités ciblées en fonction du comportement et du profil des utilisateurs. 8,82 % des applications Android analysées peuvent divulguer les numéros de téléphone d’un appareil à des publicitaires. Les applications intégrant Air Push et parfois LeaBolt permettent aux développeurs de recueillir, crypter et d’envoyer le numéro de téléphone à l’insu des utilisateurs.

Si la géolocalisation, l’accès aux contacts de l’appareil ou l’interaction avec les réseaux sociaux, peuvent être légitimes pour certaines fonctionnalités, ces comportements deviennent intrusifs lorsque les données personnelles de l’utilisateur ne sont pas indispensables au bon fonctionnement des applications mais collectées pour être monétisées par les développeurs. En d’autres termes, l’application ne devient gratuite qu’une fois ‘payée’ par l’utilisateur avec ses données personnelles. La situation est même pire, puisque payer l’application n’assure pas à l’utilisateur que ses données privées ne soient plus collectées ni même rendues à son propriétaire puisque déjà stockées dans des fichiers. De plus, la collecte de ces données est faite sans que l’utilisateur ait connaissance des autorisations accordées lors de l’installation de l’application. Que ce soit au moment de l’installation de l’application Android ou lors de son exécution pour une application iOS, l’utilisateur devrait lire attentivement les autorisations demandées.

Des applications qui peuvent aider à se sécuriser, Data Security Breach vous propose plusieurs solutions gratuites, pour Android et iOS, qui permettent d’être informés sur les risques d’atteinte à sa vie privée et ainsi se prémunir contre d’éventuels usages non désirés de ses informations personnelles. Des applications qui peuvent servir à protéger contre la collecte et l’utilisation de données personnelles par les autres application déjà présente sur le smartphone. D’abord, débutons par l’application de Bitdefender baptisée Clueful. Elle permet d’apprécier les données que pillent les applications. Possibilité d’effacer les plus dangereuses. Attention, Clueful collecte aussi des données personnelles, c’est du moins ce qu’indiquent les  conditions générales. Autre solution, celle proposée par AVG. Même principe, avec possibilité de détruire les applications malveillantes.

DataSecurityBreach.fr terminera avec Androick, un outil pour linux permettant d’aider les utilisateurs à analyser des applications Android. Il permet de récupérer le fichier apk, toutes les données (stockées sur le téléphone et carte SD), les bibliothèques et les bases de données (au format SQLite3 et CSV). C’est un projet récent, jeune et dynamique. L’auteur,  Florian Pradines, chercheur pour la société Phonesec,  a expliqué à Data Security Breach et zataz.com des ajouts de fonctionnalités d’ici un ou deux mois, notamment celle permettant de décompiler une application qui possède le flag « isEncrypted ».