;
Maison / Développement web / Des centaines d'applications Android évitent les autorisations d'applications pour accéder aux données utilisateur

Des centaines d'applications Android évitent les autorisations d'applications pour accéder aux données utilisateur

Lorsqu’il s’agit d’applications Android, l’une des suggestions courantes des experts en sécurité est de revoir les autorisations des applications. Cela signifie qu'il faut vérifier les autorisations d'accès demandées par une application au moment de l'installation. Si une application nécessite d'accéder à des données inutiles, refusez-les. Cependant, une étude a révélé que refuser de telles autorisations n’est parfois pas bon. De nombreuses applications Android échappent aux autorisations des applications et accèdent aux détails de l'utilisateur indépendamment.

Applications Android évitent les autorisations des applications

Les chercheurs ont mis en évidence de nombreuses applications dans le Google Play Store qui volent les données des utilisateurs même lorsqu'elles sont refusées. L’équipe de chercheurs, suivant PrivacyCon 2019, a divulgué ses conclusions dans un rapport séparé document de recherche, où il explique comment diverses applications Android échappent aux autorisations des applications pour voler des données utilisateur.

Les chercheurs ont établi que les applications peuvent facilement contourner les autorisations en utilisant des canaux latéraux et des canaux cachés. En ce qui concerne l'utilisation de ces canaux, les chercheurs ont expliqué,

Les canaux latéraux présents dans la mise en œuvre du système d'autorisation permettent aux applications d'accéder aux données protégées et aux ressources système sans autorisation. tandis que les canaux cachés permettent la communication entre deux applications en collusion, de sorte qu'une application puisse partager ses données protégées par une autorisation avec une autre application sans ces autorisations.

Dans leur étude, les chercheurs ont identifié un certain nombre d'applications Android utilisant ces techniques pour accéder aux données des utilisateurs. Les chercheurs ont remarqué que les applications et les kits de développement logiciel (SDK) utilisaient des techniques d’obscurcissement pour protéger les données transmises sur le réseau; il a également voilé l'intention réelle derrière la collecte de telles informations.

Les informations partagées entre les applications de cette manière incluaient des informations personnelles, ce qui pourrait être utile aux annonceurs et aux développeurs d'applications. Par exemple, les identifiants d'appareil collectés par les applications, tels que IMEI, l'adresse MAC du routeur, l'adresse MAC du réseau, la géolocalisation et les données de la carte SD.

Liste complète des applications à venir bientôt

Les chercheurs ont téléchargé diverses applications de chaque catégorie et analysé les 88 113 applications les plus utilisées. Ils ont découvert diverses vulnérabilités dans les applications via lesquelles ils collectaient et transmettaient des données utilisateur.

Les applications ont principalement transmis les informations aux bibliothèques chinoises Baidu et Salmonads. Environ 159 applications disposaient d'un code pour accéder à la carte SD, alors que 13 applications le faisaient spécifiquement.

42 applications, outre les 12 408 autres applications avec le code, ont partagé l'adresse MAC du périphérique avec Unity pour une identification unique du périphérique via les appels système ioctl.

En tant que "substitut" de la localisation, 5 applications, à part les 5 autres ayant le code correspondant, ont collecté les adresses MAC du routeur WiFi via le cache ARP.

Les chercheurs ont également remarqué qu'une application, Shutterfly, rassemblait des métadonnées d'images sur ses serveurs pour obtenir des données de géolocalisation. Les données EXIF ​​des images ayant l’emplacement de l’appareil pourraient servir à cette fin. Comme l'ont déclaré les chercheurs,

En réalité, l'application a traité le fichier image: elle a analysé les métadonnées EXIF, y compris l'emplacement, en un objet JSON avec des champs libellés de latitude et de longitude et l'a transmis à leur serveur.

Les chercheurs ont déjà communiqué leurs résultats à Google. Tandis que, ils partageront bientôt la liste complète des 1 325 applications violant la confidentialité des utilisateurs.

Pour l'instant, Google se penche sur la question. Néanmoins, la protection des utilisateurs ne semble se limiter qu’aux «consommateurs» – c’est-à-dire – ceux qui peuvent passer à la prochaine Android Q.

Faites-nous savoir vos pensées dans les commentaires.

Les deux onglets suivants modifient le contenu ci-dessous.

Avatar
Abeerah est une blogueuse passionnée depuis plusieurs années, avec un intérêt particulier pour la science et la technologie. Elle est folle de tout savoir sur les derniers développements technologiques. Connaître et écrire sur la cybersécurité, le piratage informatique et l'espionnage l'a toujours enchantée. Quand elle n’écrit pas, quoi d’autre peut être un meilleur passe-temps que de surfer sur Internet et de rester à jour sur le monde de la technologie! Contactez moi à: [email protected]
Avatar

Source

A propos Pratik

Découvrez également

Apple désactive l'application Walkie-Talkie en raison d'un bug d'écoute forcée

Apple a franchi une nouvelle étape dans la protection de la vie privée des utilisateurs …

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *