Trois applications destinées aux enfants contenaient un code publicitaire traceur, qui collectait des données sur les utilisateurs même s'ils changeaient de téléphone
Les trois applications dangereuses pour les enfants retirées du Google Play Store avaient accumulé plus de 20 millions de téléchargements au total. Ce qui a provoqué le chaos et la controverse, c'est le fait que les trois applications en question étaient dédiées aux enfants, mais se comportaient en totale contradiction avec les politiques de collecte de données de Google.
Les trois applications Android auraient violé la politique de données personnelles en accédant à l'identifiant Android de l'utilisateur et à l'AAID, Android Advertising ID. Ces applications violant la politique en matière de données personnelles de l'utilisateur ont été découvertes par l'IDAC, le Conseil international pour la responsabilité numérique, à Boston, qui les a trouvées toutes les trois dans des kits de développement logiciel de Unity, Umeng et Appodeal. Une fois la faille de sécurité détectée, l'IDAC, une organisation à but non lucratif chargée de surveiller les applications et les plateformes, a rapidement informé Mountain View afin que les jeux pour enfants soient immédiatement retirés de sa boutique. La nouvelle est un choc pour Google, après que 21 applications de jeux infectées ont été découvertes dans le Play Store il y a quelques jours seulement.
Dangerous Android apps for kids : what the breach is about
Le président de l'IDAC, Quentin Palfrey, a expliqué quel est le risque dans les kits de développement logiciel incriminés. Les SDK Unity 3D, Umeng et Appodeal auraient la capacité d'accéder et de croiser les données des utilisateurs avec d'autres types de données, comme les données de géolocalisation.
Si l'IDAC n'a pas précisé si le type de violation de données était présent sur tous les SKD utilisés, elle a précisé qu'il se produit dans certaines versions du kit Unity, qui peut collecter à la fois le code Android ID et AAID. En passant outre les contrôles de confidentialité de Google, cela permettrait aux développeurs de suivre les utilisateurs dans le temps, et même après un changement d'appareil.
En collectant les deux données, les développeurs auraient un accès complet aux informations des utilisateurs. En effet, malgré la possibilité de réinitialiser l'AAID, le numéro d'identification qui relie chaque utilisateur à ses préférences publicitaires, l'enregistrement de l'Android ID laisserait beaucoup de place à d'éventuels transferts de données, étant donné sa nature d'identifiant statique capable de relier l'identité de l'utilisateur de l'application à ses préférences à tout moment.
Applications Android dangereuses pour les enfants : quelles sont-elles
Les trois applications au centre de la controverse sont Princess Salon, Number Coloring et Cats & ; Cosplay. Le premier et le dernier ont été supprimés par Google du Play Store, tandis que le second est toujours là, bien que Google affirme qu'il a également été supprimé. Il est probable que l'application ait été republiée sans le SDK de suivi.
Creative APPS et Libii Tech, deux des développeurs des applications incriminées, seraient encore sur le magasin avec d'autres jeux pour enfants. En outre, les apps sont toujours librement téléchargeables sur d'autres sites APK, laissant la porte ouverte au risque de vol de données.
Le problème n'affecte pas les versions iOS des apps. Le problème n'affecte toutefois pas les versions iOS des apps, comme l'IDAC l'a lui-même confirmé, du moins dans un premier temps, mais s'est réservé le droit d'approfondir la question.
C'est certainement une période sombre pour Google qui, après avoir été poursuivi par le ministère américain de la Justice pour comportement monopolistique anticoncurrentiel dans le domaine de la recherche, a été mis en cause pour un autre (encore un autre) grave problème de confidentialité et de sécurité qui pourrait potentiellement affecter des millions d'utilisateurs dans le monde.