Sécurité

De nombreuses applications Android communiquent avec des serveurs privés – et on ne sait souvent pas pourquoi – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Un rapport récent sur le comportement des applications Android indique une quantité surprenante de trafic Internet back-end sans aucun avantage pour l’utilisateur final, mais avec un impact significatif sur la durée de vie de la batterie. Des chercheurs du MIT et de Global InfoTek ont ​​​​récemment effectué une analyse approfondie des principales applications Google Play et ont découvert un grand nombre de communications qui ne semblent avoir aucun impact sur l’expérience client des applications.

Qu’est-ce que le équipe retrouvée est que 62,7% des connexions établies par les principales applications Android (définies comme les 20 meilleures applications du Google Play Store, sans tenir compte des programmes de chat) pourraient être classées comme « secrètes ». Empêcher ces applications de se connecter à des sources en ligne n’a entraîné aucun changement visible ou mesurable dans le fonctionnement de l’application sur le PC de l’utilisateur.

Tableau 2

Dans certains cas, ce comportement secret est lié à des bibliothèques A&A (Analytics and Advertising) connues, mais ces bibliothèques connues ne représentent que 43 % du total. Beaucoup des autres tombent dans leurs propres domaines personnalisés. Le rapport indique :

[T]witter utilise des connexions secrètes pour collecter des informations sur les vidéos et autres pièces jointes rich media suivies par les utilisateurs dans les tweets. L’application GO Keyboard envoie, via une connexion secrète, un ensemble d’identifiants au serveur launchermsg.3g.cn ; il envoie également des données cryptées, que nous n’avons pas pu décoder, à nextbrowser.goforandroid.com. Les lecteurs de musique Pandora et Spotify utilisent les services de graphes sociaux de Facebook [12], en envoyant des informations sur l’utilisation de l’application. Autre exemple, l’application Walmart intègre la bibliothèque de lecteurs de codes-barres fournie par Red Laser [13] – une société eBay spécialisée dans la comparaison des prix. Cette bibliothèque amène l’application à envoyer des informations sur le code-barres scanné au serveur data.redlaser.com. Pourtant, le blocage de cette diffusion d’informations ne nuit pas aux capacités de numérisation.

Une fois que l’équipe a conclu que leurs mécanismes de détection et de blocage capturaient avec précision l’activité dans l’application et ne causaient aucun problème, ils ont appliqué leurs techniques de recherche aux 500 meilleures applications du Google Play Store. Cet échantillon élargi a révélé que 46,2 % des communications au sein d’une application sont considérées comme secrètes. Le tableau ci-dessous montre les principales connexions établies avec divers services.

Tableau5

Il n’est pas du tout surprenant de voir les API de Google en tête de liste, mais la position de Gameloft vaut un sourcil. Alors qu’ils n’ont testé que 17 produits Gameloft dans le Top 500, 87,4% des connexions réalisées par Gameloft étaient secrètes.

Cela a-t-il un impact sur la durée de vie de la batterie ?

La réponse évidente à la question ci-dessus est « Oui », mais combien et dans quelle mesure va être très spécifique à l’application. Les applications qui maintiennent une connexion à Internet garderont déjà votre WiFi ou votre radio cellulaire en ligne, de sorte que le coût d’alimentation supplémentaire de 1 à 2 connexions supplémentaires est faible. Gameloft, quant à lui, passe en moyenne 46 appels masqués par candidature. Même si chacune de ces connexions consomme très peu d’énergie, 46 d’entre elles à haute fréquence s’additionneront.

Psssssst :  EFF : l'application Ring envoie vos données personnelles à des tiers - High-teK.ca

Cela dit, ce n’est pas particulièrement surprenant. Nous savons depuis longtemps que les applications Android sont de piètres intendants de la durée de vie de la batterie des smartphones ; de nombreuses applications qui intègrent des modèles commerciaux freemium téléchargent d’énormes publicités en arrière-plan, grignotant de la bande passante et laissant le modem actif beaucoup plus longtemps qu’il ne devrait l’être.

Pourtant, des enquêtes comme celle-ci révèlent en partie pourquoi les grandes entreprises continuent de souffrir de problèmes de sécurité majeurs et de violations de la vie privée des consommateurs. Un développeur d’applications qui construit son produit pour établir des dizaines de connexions secrètes qui n’ont rien à voir avec le produit réel a peu de raisons de prendre votre vie privée au sérieux – et ne le fait probablement pas.

De toute évidence, les développeurs d’applications doivent gagner de l’argent, et se connecter à un service publicitaire ne signifie pas que l’entreprise fait quelque chose de mal, mais lorsque les applications établissent des centaines de connexions sans en avertir l’utilisateur final, vous pouvez parier que vous le prenez sur le menton en termes d’autonomie de la batterie, de confidentialité ou les deux.

Bouton retour en haut de la page