7 dans 10 Smartphone Apps partage vos données avec des services tiers

7 dans 10 Smartphone Apps partage vos données avec des services tiers
Les photos provenant de smartphones sont géolocalisées même lorsque l'utilisateur n'est pas au courant. Les utilisateurs de smartphones peuvent ajuster leurs paramètres de confidentialité pour limiter la visibilité de leurs emplacements géolocalisés. (Crédit photo: US Army Graphic)

Nos téléphones mobiles peuvent révéler beaucoup sur nous-mêmes: où nous vivons et travaillons qui sont notre famille, nos amis et nos connaissances; comment (et même quoi) nous communiquons avec eux; et nos habitudes personnelles. Avec toutes les informations stockées sur eux, il n'est pas surprenant que les utilisateurs d'appareils mobiles prennent des mesures pour protéger leur vie privée, comme utilisant des codes PIN ou des mots de passe pour déverrouiller leurs téléphones.

La recherche que nous et nos collègues effectuons identifie et explore une menace importante qui manque à la plupart des gens: Plus de 70 pour cent of les applications pour smartphones transmettent des données personnelles à des sociétés de suivi tierces comme Google Analytics, l'API Facebook Graph ou Crashlytics.

Lorsque les utilisateurs installent une nouvelle application Android ou iOS, elle demande l'autorisation de l'utilisateur avant d'accéder aux informations personnelles. De manière générale, c'est positif. Et certaines des informations collectées par ces applications sont nécessaires pour leur bon fonctionnement: Une application cartographique ne serait pas aussi utile si elle ne pouvait pas utiliser les données GPS pour obtenir un emplacement.

Mais une fois qu'une application a l'autorisation de collecter ces informations, elle peut partager vos données avec les développeurs de l'application, en laissant les entreprises tierces suivre où vous êtes, à quelle vitesse vous vous déplacez et ce que vous faites.

L'aide et le danger des bibliothèques de codes

Une application ne collecte pas uniquement des données à utiliser sur le téléphone lui-même. Les applications de mappage, par exemple, envoient votre position à un serveur géré par le développeur de l'application pour calculer les directions d'où vous êtes vers une destination souhaitée.

L'application peut également envoyer des données ailleurs. Comme pour les sites Web, de nombreuses applications mobiles sont écrites en combinant diverses fonctions, précodées par d'autres développeurs et entreprises, dans ce qu'on appelle des bibliothèques tierces. Ces bibliothèques aident les développeurs suivre l'engagement des utilisateurs, se connecter avec les médias sociaux et Gagnez de l'argent en affichant des annonces et d'autres fonctionnalités, sans avoir à les écrire à partir de zéro.

Cependant, en plus de leur aide précieuse, la plupart des bibliothèques recueillent également des données sensibles et les envoient à leurs serveurs en ligne - ou à une autre entreprise tout à fait. Les auteurs de bibliothèques qui réussissent peuvent être en mesure de développer des profils numériques détaillés des utilisateurs. Par exemple, une personne peut autoriser une application à connaître son emplacement et un autre accès à ses contacts. Ce sont d'abord des autorisations distinctes, une pour chaque application. Mais si les deux applications utilisaient la même bibliothèque tierce et partageaient différentes informations, le développeur de la bibliothèque pourrait lier les pièces ensemble.

Les utilisateurs ne le sauraient jamais, car les applications ne sont pas obligées de dire aux utilisateurs quelles bibliothèques de logiciels ils utilisent. Et très peu d'applications rendent publiques leurs politiques sur la confidentialité des utilisateurs; s'ils le font, il est généralement dans les documents juridiques longs une personne régulière ne lira pas, comprendra encore moins.

Développer le Lumen

Notre recherche cherche à révéler combien de données sont potentiellement collectées à l'insu des utilisateurs, et à donner aux utilisateurs plus de contrôle sur leurs données. Pour avoir une idée de quoi les données sont collectées et transmises depuis les smartphones des utilisateurs, nous avons développé une application Android gratuite, appelée Moniteur de confidentialité Lumen. Il analyse les applications de trafic envoyées, pour signaler quelles applications et services en ligne collectent activement des données personnelles.

Parce que Lumen concerne la transparence, un utilisateur de téléphone peut voir les informations que les applications installées collectent en temps réel et avec qui elles partagent ces données. Nous essayons de montrer les détails du comportement caché des applications d'une manière facile à comprendre. Il s'agit également de recherche. Nous demandons donc aux utilisateurs s'ils nous permettent de collecter des données sur ce que Lumen observe dans leurs applications, mais cela n'inclut aucune donnée personnelle ou confidentielle. Cet accès unique aux données nous permet d'étudier comment les applications mobiles collectent les données personnelles des utilisateurs et avec qui elles partagent les données à une échelle sans précédent.

En particulier, Lumen surveille quelles applications sont en cours d'exécution sur les appareils des utilisateurs, si elles envoient des données confidentielles à partir du téléphone, les sites Internet auxquels elles envoient des données, le protocole réseau qu'ils utilisent et les types d'informations personnelles. envoie à chaque site. Lumen analyse le trafic des applications localement sur l'appareil et anonymise ces données avant de nous les envoyer pour étude: si Google Maps enregistre l'emplacement GPS d'un utilisateur et envoie cette adresse spécifique à maps.google.com, Lumen nous dit "Google Maps a reçu un Localisation GPS et l'envoyer à maps.google.com "- pas où cette personne est réellement.

Les trackers sont partout

Plus de 1,600 utilisateurs de Lumen depuis octobre 2015 nous ont permis d'analyser plus de 5,000. Nous avons découvert des sites Internet 598 susceptibles de suivre des utilisateurs à des fins publicitaires, notamment des services de médias sociaux comme Facebook, de grandes sociétés Internet comme Google et Yahoo, et des sociétés de marketing en ligne sous l'égide de Verizon Wireless.

Nous avons trouvé que plus de 70 pour cent des applications que nous avons étudiées connecté à au moins un tracker, et 15 pour cent d'entre eux connectés à cinq trackers ou plus. Un suiveur sur quatre a recueilli au moins un identificateur de dispositif unique, tel que le numéro de téléphone ou son numéro IMEI 15-digit unique spécifique à l'appareil. Les identifiants uniques sont cruciaux pour les services de suivi en ligne car ils peuvent connecter différents types de données personnelles fournies par différentes applications à une seule personne ou un seul appareil. La plupart des utilisateurs, même ceux qui connaissent bien la vie privée, ne sont pas conscients de ces pratiques cachées.

Plus qu'un simple problème de mobilité

Le suivi des utilisateurs sur leurs appareils mobiles fait partie d'un problème plus important. Plus de la moitié des applications que nous avons identifiées suivent également les utilisateurs via des sites Web. Grâce à cette technique, appelée tracking «cross-device», ces services peuvent construire un profil beaucoup plus complet de votre personnage en ligne.

Et les sites de suivi individuels ne sont pas nécessairement indépendants des autres. Certains d'entre eux appartiennent à la même entité - et d'autres pourraient être engloutis dans de futures fusions. Par exemple, Alphabet, la société mère de Google, possède plusieurs des domaines de suivi que nous avons étudiés, y compris Google Analytics, DoubleClick ou AdMob, et à travers eux collecte des données de plus de 48 pour cent des applications que nous avons étudiées.

Les identités en ligne des utilisateurs ne sont pas protégées par les lois de leur pays d'origine. Nous avons constaté que les données transitaient par les frontières nationales et se retrouvaient souvent dans des pays où les lois sur la protection de la vie privée étaient douteuses. Plus de 60% des connexions aux sites de suivi sont effectuées vers des serveurs aux États-Unis, au Royaume-Uni, en France, à Singapour, en Chine et en Corée du Sud - six pays qui ont déployé technologies de surveillance de masse. Les agences gouvernementales dans ces lieux pourraient potentiellement avoir accès à ces données, même si les utilisateurs sont en pays avec des lois plus strictes comme l'Allemagne, la Suisse ou l'Espagne.

Connecter l'adresse MAC d'un appareil à une adresse physique (appartenant à ICSI) en utilisant Wigle.
Connecter l'adresse MAC d'un appareil à une adresse physique (appartenant à ICSI) en utilisant Wigle. ICSI, CC BY-ND

Encore plus dérangeant, nous avons observé des trackers dans des applications destinées aux enfants. En testant les applications pour enfants de 111 dans notre laboratoire, nous avons observé que 11 d'entre eux a divulgué un identifiant unique, le Adresse MAC, du routeur Wi-Fi auquel il était connecté. C'est un problème, car il est facile de recherche en ligne pour les emplacements physiques associés à des adresses MAC particulières. La collecte d'informations privées sur les enfants, y compris leur localisation, leurs comptes et d'autres identifiants uniques, enfreint potentiellement les règles de la Commission fédérale du commerce. règles protégeant la vie privée des enfants.

Juste un petit regard

Bien que nos données incluent de nombreuses applications Android les plus populaires, il s'agit d'un petit échantillon d'utilisateurs et d'applications, et donc probablement un petit ensemble de tous les trackers possibles. Nos constatations ne font qu'effleurer la surface de ce qui risque d'être un problème beaucoup plus vaste qui s'étend à toutes les juridictions, à tous les appareils et à toutes les plates-formes de réglementation.

Il est difficile de savoir ce que les utilisateurs peuvent faire à ce sujet. Le blocage des informations sensibles de la sortie du téléphone peut altérer les performances de l'application ou l'expérience utilisateur: une application peut refuser de fonctionner si elle ne peut pas charger les annonces. En fait, bloquer les annonces blesse les développeurs d'applications en leur refusant une source de revenus pour soutenir leur travail sur les applications, qui sont généralement gratuites pour les utilisateurs.

Si les gens étaient plus disposés à payer les développeurs pour les applications, cela pourrait aider, même si ce n'est pas une solution complète. Nous avons constaté que même si les applications payantes ont tendance à contacter moins de sites de suivi, elles suivent les utilisateurs et se connectent à des services de suivi tiers.

La ConversationLa transparence, l'éducation et des cadres réglementaires solides sont la clé. Les utilisateurs doivent savoir quelles informations les concernant sont collectées, par qui et à quoi ils servent. Alors seulement, en tant que société, pouvons-nous décider quelles protections de la vie privée sont appropriées et les mettre en place. Nos découvertes, ainsi que celles de nombreux autres chercheurs, peuvent aider à renverser les rôles et à suivre les pisteurs eux-mêmes.

À propos des auteurs

Narseo Vallina-Rodriguez, professeur adjoint de recherche, IMDEA Networks Institute, Madrid, Espagne; Chercheur scientifique, Réseautage et sécurité, Institut international d'informatique basé à, Université de Californie, Berkeley et Srikanth Sundaresan, chercheur en informatique, L'Université de Princeton

Cet article a été publié initialement le La Conversation. Lis le article original.

Livres connexes:

{amazonWS: searchindex = Livres; mots-clés = vie privée sur Internet; maxresults = 3}