Android : plus de 1 000 applications collectent nos données,
malgré les autorisations refusées
Les plateformes de smartphone modernes implémentent des modèles basés sur des autorisations pour protéger l'accès aux données sensibles et aux ressources système. Si vous ne souhaitez pas qu'une application puisse lire vos journaux d'appels par exemple, vous devez pouvoir refuser cet accès. Cependant, les applications peuvent contourner le modèle de permission implémenté par Google sur Android et accéder ainsi aux données protégées sans le consentement de l'utilisateur en utilisant des canaux cachés et secondaires.
Des chercheurs de l'Institut international d'informatique ont découvert plus de 1 000 applications contournant les restrictions, ce qui leur permettrait de rassembler des données de géolocalisation et des identifiants de téléphone précis dans votre dos. Serge Egelman, directeur de la recherche sur la sécurité et la confidentialité à l'ICSI, a présenté l'étude fin juin à la PrivacyCon de la Federal Trade Commission (FTC). « Fondamentalement, les consommateurs disposent de très peu d’outils qu’ils peuvent utiliser pour contrôler raisonnablement leur vie privée et prendre des décisions à ce sujet », a déclaré Egelman lors de la conférence. « Si les développeurs d'applications peuvent simplement contourner le système, demander aux consommateurs l'autorisation de les utiliser est relativement dépourvu de sens ».
M. Egelman a déclaré que les chercheurs avaient informé Google de ces problèmes en septembre dernier, ainsi que la FTC. Google aurait répondu qu'il s'attaquerait aux problèmes dans Android Q. Selon Google, la mise à jour résoudra le problème en masquant les informations de lieu dans les photos des applications et en exigeant que toutes les applications qui accèdent au Wi-Fi aient également la permission d'obtenir des données de lieu. Ces découvertes mettent en évidence à quel point, il est difficile de rester privé en ligne, en particulier si vous êtes connecté à vos téléphones et applications mobiles. Les entreprises de technologie disposent de montagnes de données personnelles sur des millions de personnes, y compris l'endroit où elles se trouvent, leurs amis et leurs centres d'intérêt.
Les Smartphones sont utilisés comme ordinateurs à usage général et ont par conséquent accès à un grand nombre de ressources système sensibles (par exemple, des capteurs tels que la caméra, le microphone ou les systèmes GPS), des données privées des utilisateurs (courriers de l'utilisateur ou liste de contacts) et divers identificateurs persistants (IMEI). Il est important, et même urgent de protéger ces renseignements contre tout accès non autorisé. Android, le système d'exploitation de téléphonie mobile le plus populaire, met en œuvre un système basé sur les permissions pour réguler l'accès à ces ressources sensibles par des applications tierces.
Dans ce modèle, les développeurs d'applications doivent explicitement demander la permission d'accéder aux ressources sensibles dans leur manifeste Android. En procédant ainsi, le modèle est censé donner aux utilisateurs le contrôle pour décider quelles applications peuvent accéder à quelles ressources et informations ; dans la pratique, son application peut être remise en cause. Selon les chercheurs, de par la conception de l’OS Android, tout service tiers groupé dans une application hérite de l'accès à tous les droits que l'utilisateur accorde à l'application. En d'autres termes, si une application peut accéder à l’emplacement de l’utilisateur, alors tous les services tiers intégrés dans cette application le peuvent aussi.
Comment les applications contournent le système de permissions sur Android ?
Dans la pratique, les mécanismes de sécurité peuvent souvent être contournés ; les canaux latéraux et les canaux cachés sont deux techniques utilisées pour contourner les mécanismes de sécurité. Ces canaux se produisent lorsqu'il existe un autre moyen d'accéder à la ressource protégée qui n'est pas audité par le mécanisme de sécurité, laissant ainsi la ressource sans protection.
Le canal caché se présente comme effort intentionnel et délibéré entre deux entités coopérantes, de sorte que l'une ayant accès à certaines données le fournissent à l'autre entité sans accès en violation au mécanisme de sécurité.
Le canal latéral expose un chemin d'accès à une ressource qui est en dehors du mécanisme de sécurité ; cela peut être dû à une faille dans la conception du mécanisme de sécurité ou même dans la mise en œuvre de cette conception.
canal latéral
Pour cette étude, les chercheurs ont examiné plus de 88 000 applications du magasin Google Play, afin de déterminer comment les données étaient transférées depuis les applications lorsque les autorisations leur étaient refusées. Les 1 325 applications qui violaient les autorisations sur Android utilisaient des solutions de contournement masquées dans leur code, qui prendrait des données personnelles provenant de sources telles que des connexions Wi-Fi et des métadonnées stockées dans des photos.
En résumé, les contributions de ce travail incluent :
- la conception d’un pipeline pour détecter automatiquement les vulnérabilités dans le système de permissions Android via une combinaison d'analyse dynamique et statique ;
- la découverte que des entreprises obtenant les adresses MAC des stations de base Wifi connectées à partir du cache ARP. Ceci peut être utilisé comme substitut pour les données de localisation. Cinq applications exploitaient cette vulnérabilité et 5 autres avaient le code pertinent pour le faire ;
- la découverte qu’Unity obtenait l'adresse MAC d’un périphérique, en utilisant les appels système. L'adresse MAC peut être utilisée pour identifier de manière unique le périphérique. 42 applications exploitant cette vulnérabilité et 12 408 applications avaient le code pertinent pour le faire ;
- la découverte des bibliothèques tierces fournies par deux sociétés chinoises Baidu et Salmonads qui utilisaient indépendamment la carte SD en tant que canal caché, de sorte que lorsqu'une application peut lire l'IMEI du téléphone, elle le stocke pour d'autres applications qui ne peuvent pas. 159 applications avaient le potentiel d’exploiter ce canal ezsecret 13 applications le faisant.
Remarque : l'identité internationale d'équipement mobile (IMEI) est une valeur numérique qui identifie les téléphones mobiles de manière unique. L'IMEI a de nombreuses utilisations valides et légitimes pour identifier les périphériques, y compris la détection, le blocage des téléphones volés. L’IMEI est également utile pour les services en ligne en tant que solution persistante, identifiant de périphérique pour le suivi des téléphones individuels. L'IMEI est un identificateur puissant, car il faut des efforts extraordinaires pour changer sa valeur ou même la falsifier.
Fonctionnement des permissions sur Android
Le système de permissions d’Android est basé sur le principe du moindre privilège. Autrement dit, une ressource ne devrait avoir que les capacités minimales dont elle a besoin pour accomplir sa tâche. Ce principe de conception standard pour la sécurité implique que si une application agit malicieusement, les dégâts seront limités. Les développeurs doivent déclarer les autorisations dont leurs applications ont besoin au préalable, et l'utilisateur a la possibilité de les examiner et de décider s'il faut installer l'application. La plateforme Android, cependant, ne juge pas si l'ensemble des autorisations demandées est tout ce qui est strictement nécessaire pour que l'application fonctionne. Les développeurs sont libres de demander plus d'autorisations que nécessaire et les utilisateurs doivent juger s’ils sont raisonnables.
Le modèle de permission Android a deux aspects importants : obtenir le consentement de l'utilisateur avant qu'une application ne puisse accéder à des ressources protégées, puis en s'assurant que l'application ne peut pas accéder aux ressources pour lesquelles l'utilisateur n'a pas donné son consentement. Par contre, les utilisateurs ne sont pas suffisamment informés de la raison pour laquelle les applications ont besoin d’autorisations au moment de l'installation, les utilisateurs ne comprennent pas exactement quel est le but des différentes autorisations, et ils manquent suffisamment de transparence dans la façon dont les applications utiliseront finalement les permissions accordées. Le système de permissions Android a un objectif important : protéger la confidentialité des utilisateurs et les ressources système sensibles. Si un utilisateur refuse l’autorisation à une application, cette application ne doit pas être en mesure d'accéder aux données protégées par ce contrôle.
Malheureusement, ce n'est pas toujours le cas dans la pratique.
Source : FTC
Et vous ?
Avez-vous déjà refusé une permission sur votre Android ?
Quel est votre sentiment face à ces révélations ?
Voir aussi :
Android : les fabricants désormais obligés de fournir des mises à jour de sécurité pendant 2 ans, suite à un accord conclu avec Google
Etude : environ 90 % des applications Android transfèrent des données à Google, et près de 50 %, à au moins 10 tiers tels que Facebook et Twitter
Certains fabricants des téléphones Android mentent à propos des mises à jour de sécurité, d'après des chercheurs de Security Research Lab
Partager