Catégories
Start-up et applications

L'API Backdoor expose les données sensibles des utilisateurs d'Android

Un récent document de recherche signale qu'un ensemble d'API Android appelées Méthodes d'application installées (IAM) exposent les informations sensibles des utilisateurs d'Android aux annonceurs. Les IAM ont un but légitime. Ils ont été conçus pour que les développeurs puissent vérifier les problèmes de compatibilité lorsque des applications sont lancées sur certains appareils. Cependant, les IAM peuvent être utilisés à mauvais escient pour récupérer une liste d'autres applications installées sur l'appareil, ce qui peut aider les annonceurs à déduire certaines informations (par exemple, la religion, le sexe, etc.)

Le rapport a révélé l'abus en constatant que plus de 4200 applications sur le Google Play Store utilisent des IAM uniquement pour récupérer une liste d'applications sur l'appareil et non à des fins de diagnostic. Sur les 22 000 applications analysées, les chercheurs ont découvert qu'environ 30% de celles répertoriées sur Google Play abusaient des IAM de cette manière.

Plus précisément, l'utilisation abusive des IAM appelle l'API pour packageName et aucune autre fonction d'API. PackageName récupère d'autres applications installées sur un appareil mais n'a aucune autre valeur de diagnostic. Les applications utilisant ce comportement abusif se trouvaient le plus souvent dans les applications de jeux et de bandes dessinées. Cependant, les chercheurs ont trouvé des exemples dans chaque catégorie d'application.

Une autre étude sur ce même sujet a indiqué que la liste des applications d'un utilisateur pouvait prédire le sexe avec une précision de 82%, l'âge avec une précision de 77% et l'état matrimonial avec une précision de 72%. Les chercheurs ont suggéré des correctifs pour cette porte dérobée qu'il exhorte Google à inclure dans Android 11 (qui devrait sortir plus tard cette année). Google a déjà exprimé la possibilité d'exiger le consentement de l'utilisateur pour récupérer les listes d'applications via les IAM.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *