50 manières de vous dérober vos données personnelles sur Androïd...

2 min de lecture
27 mai 2022 18:47:38

Lors de la 15e édition de la conférence internationale Computers Privacy and Data Protection (CPDP), le prix de la protection de la vie privée a été remis à Joel Reardon, Álvaro Feal, Primal Wijesekera, Amit Elazari Bar On, Narseo Vallina-Rodriguez et Serge Egelman pour leur article « 50 Ways to Leak Your Data: An Exploration of Apps' Circumvention of the Android Permissions System ».

Les travaux des chercheurs ont exploré les failles des systèmes d'autorisation des smartphones utilisées pour protéger l'accès aux données sensibles et aux ressources du système d'exploitation de votre téléphone.

Les auteurs ont montré que les applications pouvaient contourner le modèle de permission et accéder aux données protégées sans le consentement de l'utilisateur en utilisant des canaux cachés et latéraux.

Les canaux latéraux permettent aux applications d'accéder aux données sans autorisation, tandis que les canaux cachés permettent la communication entre deux applications en collusion, de sorte qu'une application peut techniquement partager ses données protégées par autorisation avec une autre application ne disposant pas de ces autorisations. Dans les deux cas, la vie privée des utilisateurs est menacée.

Afin d'apporter des preuves de l'utilisation de canaux secondaires et cachés par les applications sur Androïd, les chercheurs ont utilisé une infrastructure qui exécute des centaines de milliers d'applications dans un environnement de test incluant des dispositifs surveillant le comportement d'exécution des applications et le trafic réseau. Ils suivaient des données sensibles et marquées envoyées sur le réseau et pour lesquelles l'application émettrice n'avait pas théoriquement les autorisations nécessaires pour y accéder.

Ils ont ensuite procédé à du reverse engineering sur les applications et les bibliothèques tierces responsables de ce comportement, et ce afin de déterminer comment l'accès non autorisé s'était produit. Les chercheurs ont également utilisé des méthodes d'empreintes logicielles pour mesurer la prévalence statique de la technique découverte parmi les autres applications du corpus étudié.

Grâce à cet environnement et à cette méthode de test, les chercheurs ont découvert un certain nombre de canaux secondaires et secrets utilisés par des centaines d'applications populaires pour obtenir un accès non autorisé à des identifiants uniques et à des données de géolocalisation... Les auteurs ont divulgué de manière responsable leurs découvertes à Google et ont reçu une prime en remerciement de leur travail.

Pour aller plus loin:

Il s'agit d'un sujet pour votre métier ou votre entreprise?
Vous avez des questions, vous aimeriez en savoir plus ?

Contactez-nous !

https://don.odp-pompiers.fr/odp

Aidez-nous et donnez vous aussi un petit quelque chose aux orphelins de sapeurs-pompiers en cliquant ici