Une équipe de l'université d'ingénierie de Virginie a découvert, via le programme DIALDroid, une grave faille de confidentialité pour les utilisateurs du Play Store
Les applis Android, c'est désormais bien connu, s'associent pour partager nos informations sans nous demander la permission au préalable. Des chercheurs de Virginia Tech ont créé un outil, DIALDroid, pour surveiller ce phénomène. Les résultats sont alarmants.
L'équipe du département d'informatique de l'université d'ingénierie de Virginie, aux États-Unis, a analysé plus de 110 mille demandes au cours des trois dernières années. L'objectif était de contrôler les informations que les applications collectaient et partageaient sans demander la permission des utilisateurs. La recherche a montré que de nombreuses applications, même si elles demandent l'autorisation d'accéder à la localisation, à l'appareil photo ou aux contacts, peuvent obtenir les mêmes informations en utilisant d'autres applications sur nos smartphones Android, si nous décidons de ne pas accepter la demande.
Nouveau problème pour le Google Play Store
Ce phénomène généralisé pose un nouveau problème pour le Google Play Store : la protection de la vie privée des utilisateurs. Un fait qui n'est certainement pas négligeable, surtout après les récents problèmes rencontrés avec l'Android Store. Sur l'ensemble des applications analysées, les chercheurs ont déclaré qu'au moins 25 000 d'entre elles passaient des accords secrets pour partager les informations recueillies sur les différents utilisateurs. En gros, il s'agit de données définies comme privilégiées, c'est-à-dire des données que l'utilisateur doit autoriser.
Menace de sécurité
Le problème ne se limite pas au partage. La violation de notre vie privée n'est pas le seul danger lié à ce phénomène croissant. De nombreuses applications analysées ne protègent pas nos données pendant le processus d'échange, ce qui permet aux cybercriminels de s'emparer très facilement de nos informations les plus confidentielles. Cela signifie que les applications enfreignent constamment les exigences de sécurité standard. Et attention, car les applications des grandes entreprises ne sont pas les seules concernées. De simples services de création d'emoji et d'autres applications théoriquement insoupçonnées ont également été signalés parmi les applications qui affectent le partage de données confidentielles. À l'avenir, selon les chercheurs de Virginie, les pirates pourraient également créer des logiciels malveillants ad hoc pour voler des informations à partir de cet échange de données. Le conseil est donc de surveiller en permanence les autorisations données aux apps, et d'utiliser pour chaque vérification le programme DIALDroid, disponible gratuitement sur GitHub.