Crédit :CC0 Domaine public
Une étude "An Analysis of Pre-installed Android Software" indique que les applications Android pré-installées représentent une multitude de problèmes de confidentialité. Il suffit de demander à IMDEA Networks Institute, Université Stony Brooks, Université Carlos II de Madrid et ICSI. Ils sont les auteurs de l'étude.
Ils ont parlé de services de suivi et de publicité intégrés dans de nombreuses applications préinstallées, et les partenariats qui permettent de partager l'information, et le contrôle à donner à diverses autres sociétés par le biais d'autorisations, portes dérobées et canaux latéraux.
ICSI signifie Institut international d'informatique. IMDEA est un organisme de recherche à Madrid. Il se concentre sur les réseaux informatiques et de communication.
Le problème remonte à certains fournisseurs de matériel; ils pré-chargent les appareils Android avec des applications qui peuvent absorber les données des utilisateurs. Oh, et ne blâme pas les stupides, utilisateurs négligents (au moins pour autoriser les applications de récolte). Ils ne sont pas au courant parce qu'on ne leur demande pas de signer quoi que ce soit.
Les auteurs de l'étude ont découvert qu'un certain nombre de smartphones permettant à des tiers d'accéder aux données des utilisateurs, sans consentement, impliquaient des applications préinstallées non Google.
EL PAIS :Les recherches antérieures sur les risques pour la vie privée des téléphones portables ont peut-être examiné Google Play, mais cette équipe a plutôt analysé les applications préinstallées sur les téléphones standard "et il s'avère que, grâce à un écosystème complexe de fabricants, opérateurs mobiles, développeurs d'applications et fournisseurs de services, les garanties offertes par Android sont loin d'être infaillibles."
Utile à souligner ici, comme l'a rapporté Reuters, que les fabricants d'appareils, avec la nature open source d'Android, pourrait être en mesure de personnaliser et d'emballer d'autres applications avec le système d'exploitation.
L'étude a braqué les projecteurs sur quelque 1, 700 appareils de 200 fabricants de matériel. La sonde a impliqué 82, 000 applications préinstallées.
ZDNet a déclaré que « Selon les chercheurs, l'autorisation la plus utilisée parmi les applications qui intègrent également un SDK tiers est l'autorisation de lire les journaux système, suivi de la possibilité de monter/démonter l'espace de stockage, et la possibilité d'installer d'autres applications."
Harry Domanski pour TechRadar a souligné les fournisseurs qui fournissent leur propre version du système d'exploitation open source. À son tour, ils abusent de la plate-forme pour lancer des produits avec des "services de collecte de données intégrés".
La balle peut parfois tomber dans votre coin, parfois. Télécharger "une application de collecte de données et accepter qu'elle utilise toutes vos informations à des fins de marketing" est ok, a déclaré Roland Moore-Colyer pour le ENQUÊTEUR .
Le problème ici est que l'étude examine les applications qui vous sont préinstallées et ne vous explique pas clairement les activités de collecte de données. Comme Moore-Clyer l'a souligné, cette collecte de données pourrait être délibérée ou simplement le résultat d'une « mise en œuvre stupide ».
Catalin Cimpanu a regardé l'étude et a noté quelques frottements supplémentaires. Il a dit ZDNet lecteurs que "de nombreuses applications préinstallées (également appelées bloatware) ne peuvent pas être supprimées, et utilisent également des bibliothèques tierces qui collectent secrètement des données utilisateur à partir d'applications d'apparence inoffensive et portant des noms innocents."
Compte tenu de tout cela, autant d'attention doit être portée sur les solutions ainsi que sur les causes. Dans la recherche de solutions, le paysage est compliqué. La difficulté réside dans la nature de la chaîne d'approvisionnement. Moore-Clyer a déclaré que « la chaîne d'approvisionnement des logiciels et du matériel peut être assez compliquée avec toutes sortes d'accords conclus pour sécuriser certaines applications et services sur les appareils, sans personne pour superviser une telle activité."
Domanski a évoqué une « myriade d'acteurs » allant des développeurs de logiciels aux annonceurs, "potentiellement impliqué dans des partenariats secrets."
EL PAIS :« Un mobile Android n'est pas produit par un seul constructeur. La puce vient d'une entreprise et les mises à jour du système d'exploitation seront éventuellement sous-traitées à une autre, tandis qu'un logiciel séparé sera ajouté par les opérateurs mobiles et les distributeurs. Il y a beaucoup plus d'acteurs impliqués dans le produit final... le résultat est un écosystème si complexe que tous les acteurs peuvent se soustraire à la responsabilité de savoir où finissent nos données personnelles... Et ce qui appartient à tout le monde n'appartient à personne."
Les auteurs ont présenté leurs "recommandations pour améliorer la transparence, attribution, et la responsabilité dans l'écosystème Android."
Les ENQUÊTEUR a déclaré qu'une suggestion consistait à ce qu'un tiers supervise les applications préinstallées et s'assure qu'elles respectent les directives de confidentialité. "Les boffins estiment que Google pourrait assumer ce rôle étant donné son pouvoir de licence Android."
Une autre suggestion était que les gouvernements et les organismes de réglementation adoptent des règlements.
Domanski a déclaré qu'un organisme de réglementation de confiance mondiale, comme le dit la suggestion des auteurs, signeraient les certificats logiciels plutôt que les fournisseurs.
Pendant ce temps, les géants de la technologie sont sous le feu des projecteurs de loin en raison de l'inquiétude générale concernant le suivi et la collecte des données des utilisateurs (« les applications préinstallées ont récemment fait l'objet d'un examen accru, " a fait remarquer Reuters).
TechCrunch a rendu compte de la réaction de Google à l'étude. Natasha Lomas a écrit, "Google a répondu au journal par la déclaration suivante, attribuée à un porte-parole."
"Nous apprécions le travail des chercheurs et avons été en contact avec eux concernant les préoccupations que nous avons concernant leur méthodologie. Les smartphones modernes incluent des logiciels système conçus par leurs fabricants pour garantir que leurs appareils fonctionnent correctement et répondent aux attentes des utilisateurs. La méthodologie des chercheurs est incapable de différencier les logiciels système préinstallés, tels que les composeurs, magasins d'applications et outils de diagnostic - à partir de logiciels malveillants qui ont accédé à l'appareil à une date ultérieure, ce qui rend difficile de tirer des conclusions claires."
Google a poursuivi en déclarant qu'ils travaillaient avec des "partenaires OEM" pour garantir la sécurité des applications qu'ils décident de pré-installer sur les appareils. Ils fournissent également des « outils et une infrastructure » pour aider les partenaires à analyser leurs logiciels. Enfin et surtout, ils ont déclaré avoir donné aux partenaires des politiques concernant la sécurité des applications préinstallées, « et leur donner régulièrement des informations sur les préchargements potentiellement dangereux » qu'ils ont identifiés.
Bien, c'est intéressant.
Les auteurs de l'article avaient déclaré que la chaîne d'approvisionnement autour du modèle open source d'Android manquait de transparence et avait facilité des comportements potentiellement dangereux et un accès backdoor à des données et services sensibles sans que l'utilisateur en soit conscient.
Les auteurs, dans leurs remarques finales, mentionné, « Malgré une année complète d'efforts, nous n'avons pu qu'effleurer la surface d'un problème beaucoup plus vaste. Ce travail est donc exploratoire, et nous espérons qu'il attirera davantage l'attention sur l'écosystème de logiciels Android préinstallés et son impact sur la confidentialité et la sécurité des utilisateurs."
© 2019 Réseau Science X