Sécurité

Comment des centaines d’applis Android exfiltrent vos données personnelles de façon illicite


Ce n’est pas parce qu’on n’a pas le droit de faire quelque chose, que c’est impossible à faire. Sur Android, les applications mobiles reçoivent des droits d’accès pour certaines données sensibles, et pour d’autres non. Cela dépend du besoin applicatif et de la volonté de l’utilisateur. Mais certaines applis contournent ces règles pour exfiltrer des données qu’elles n’avaient pas le droit de lire, probablement dans un but de ciblage publicitaire.

Un groupe de six chercheurs a analysé de façon statique et dynamique le fonctionnement et les échanges de données de plus de 88 000 applications provenant de Google Play. Parmi elles, plusieurs centaines ont été prises en flagrant délit, envoyant sans autorisation à des serveurs tiers des données comme l’adresse MAC du point d’accès, l’adresse MAC du terminal, son numéro IMEI ou des données de géolocalisation. Pour y arriver, les développeurs de ces applications ont employé de savants stratagèmes.

Travail collaboratif

Ainsi, pour exfiltrer l’IMEI, deux librairies chinoises – Salmonads et Baidu Maps SDK – s’appuient sur un répertoire caché sur la carte SD. C’est un véritable travail collaboratif. Les applications intégrant l’une de ces librairies et disposant d’un droit d’accès à l’IMEI créent le répertoire, puis viennent y déposer l’information à destination des applications qui intègrent également ces librairies mais qui ne disposent pas des droits nécessaires. Un bel exemple de solidarité.

Pour mettre la main sur l’adresse MAC du terminal, certaines applications de jeu basées sur Unity initient des sockets de connexion pour récupérer, par ricochet, l’identifiant du module Wi-Fi. Obtenir l’adresse MAC du point d’accès – une donnée permettant d’estimer la localisation de l’utilisateur – est encore plus simple : il suffit d’ouvrir le fichier « /proc/net/arp ». Celui-ci est accessible à n’importe quelle application et contient les tables de correspondances entre les adresses IP du réseau local et les adresses MAC. Une méthode alternative consiste à interroger directement le point d’accès au moyen du protocole Universal Plug & Play (UPnP). Là encore, Android n’y voit que du feu.

Main dans la main avec les publicitaires

Certaines applications récupèrent également des données de géolocalisation au travers de leurs partenaires marketing, qui les insèrent parfois dans les liens publicitaires. Mais le résultat n’est pas toujours très précis. Enfin, les développeurs de l’application Shutterfly ont trouvé une méthode originale pour récupérer des données de géolocalisation : ils sont allés les chercher dans les données EXIF des photos de l’appareil.

Les chercheurs ont alerté Google sur toutes ces astuces de contournement. Le géant informatique devrait donc renforcer les contrôles d’accès. Dans la prochaine version du système, Android Q, l’accès au répertoire « /proc/net » sera interdit. Selon The Verge, l’accès aux données EXIF sera également bloqué. Mais Google n’a fait aucun commentaire sur les autres failles.

Source : Papier scientifique




Source link