Ces apps qui se passent de nos permissions

1325 applications contournent les mécanismes de permission sur Android afin de collecter, par des moyens détournés, des données auxquelles elles ne devraient pas avoir accès. Toutes les méthodes sont bonnes pour obtenir identifiants du terminal et autres données de géolocalisation. Google promet de régler le problème avec Android Q.

Apple et Google ont beau vouloir défendre les données des utilisateurs de leurs OS mobiles à grands coups de permissions, il s’en trouve toujours des petits malins pour contourner les protections en place et collecter des données, notamment de géolocalisation, malgré le refus de l’utilisateur. Telle est la conclusion d’une enquête menée par un groupe d’universitaires sur le Play Store.

Ce sont quelque 252 864 versions pour 88 113 applications Android différentes qui ont été analysées à la loupe dans cette étude dénichée par Cnet. Les chercheurs ont découvert que 1325 applications violaient délibérément les permissions accordées et refusées par les utilisateurs, employant des moyens détournés afin de collecter IMEI, informations de géolocalisation et autres données.

Parmi ces méthodes, les chercheurs distinguent side channels et covert channel. Ces dernières désignent la communication entre deux ou plusieurs applications permettant à l’une d’avoir accès aux informations collectées par l’autre sans avoir elle-même à demander la permission à l’utilisateur et contournant donc toute forme de mécanisme de sécurité. « Par exemple, imaginez qu’AliceApp ait obtenu l’autorisation, par l’intermédiaire de l’API Android, d’accéder à l’IMEI du téléphone, mais que BobApp n’a pas accès à ces mêmes données. Un canal caché est créé lorsqu'AliceApp lit légitimement l'IMEI puis le transmet à BobApp, alors que ce dernier s'est déjà vu refuser l'accès à ces mêmes données » cite en exemple l’enquête.

A couvert et latéralement

Les « side channels » sont un peu plus « exotiques ». Ces mécanismes permettent à une application d’obtenir des informations auxquelles les permissions ne lui donnent pas normalement accès en cherchant soit des ersatz de ces informations, soit un canal non protégé par une permission. Les chercheurs donnent notamment l’exemple de l’extraction de coordonnées GPS des métadonnées de photos. Quand bien même l’application ne peut accéder au GPS du téléphone, la voilà désormais en possession des données de géolocalisation sans avoir eu à en demander la permission.

« Les side channels sont généralement une conséquence non intentionnelle d'un système compliqué » explique l’enquête. On pourra encore citer le recours aux données du réseau WiFi, permettant d’avoir accès à l’adresse MAC du routeur. Prévenu en septembre dernier, Google explique résoudre la faille dans Android Q. Mais il n’est pas le seul à avoir été notifié du problème : l’étude a été présentée dans le cadre d’un évènement de la Federal Trade Commission.