Votre téléphone parle de vous derrière votre dos. Ces chercheurs écoutent

12

Les trackers de données sont partout dans les applications. Les chercheurs veulent savoir quelles informations ils transmettent.

fausses images

Lorsque vous téléchargez une application, les demandes d'autorisation et la politique de confidentialité sont généralement les seuls avertissements que vous recevrez sur les données que vous prenez. Habituellement, il vous suffit de prendre la parole sur l'application que vous ne prenez que les données que vous avez accepté de fournir.

Cependant, souvent, il y a plus de thésaurisation que vous ne le pensiez, selon des chercheurs en sécurité. Il a été constaté que plus de 1 000 demandes prennent des données même après avoir été privées de permis. Par exemple, les applications de suivi menstruel ont partagé des informations confidentielles avec Facebook, ainsi qu'avec d'autres sociétés auxquelles je ne m'attendais pas. De même, les applications conçues pour bloquer les appels automatiques ont partagé vos données téléphoniques avec des sociétés d'analyse.

Chaque fois qu'un appareil envoie des données, le trafic est capturé et enregistré. Votre position est utilisée lorsque vous vérifiez la météo, mais ces mêmes informations peuvent être envoyées aux annonceurs. Les chercheurs ont des outils pour voir ce dossier. Ils l'analysent ensuite pour déterminer la quantité de données envoyées et leur destination.

Habituellement, ce type d'analyse du trafic réseau était utilisé pour regarder vers l'extérieur, offrant une fenêtre sur ce qui se passait sur les réseaux Wi-Fi publics. Cependant, ces dernières années, les chercheurs ont transformé cette gamme en leurs propres téléphones pour voir ce que les applications de données envoient sur leurs appareils.

"Si les données proviennent du téléphone, vous pouvez les voir. C'est aussi simple que cela."

Le chercheur Will Strafach

En jetant un œil sous le capot, ils ont découvert que de nombreuses applications envoient des données qui vont au-delà de ce que les gens acceptent en vertu des politiques de confidentialité et autorisent les demandes.

"En fin de compte, vous avez une politique qui n'a pratiquement aucun sens car elle ne décrit pas ce qui se passe précisément", a déclaré Serge Egelman, directeur de la recherche sur la sécurité et la confidentialité utilisable à l'Institut international des sciences informatiques. "La seule façon de répondre à cette question est d'entrer et de voir ce que l'application fait avec ces données."

Parfois, les données sont adressées aux annonceurs, qui pensent pouvoir les utiliser pour vendre des produits. Les données de localisation téléphonique peuvent être une mine d'or pour les annonceurs, qui en profitent pour savoir où se trouvent les gens à certains moments. Mais vous pouvez également vous adresser aux agences gouvernementales qui profitent de la technologie pour surveiller les personnes qui utilisent les données collectées par des applications qui n'ont jamais révélé ce qu'elles faisaient. Récemment, le Wall Street Journal a rapporté que les agences gouvernementales utilisaient ces données pour suivre les immigrants.

Ces chercheurs mettent en lumière un monde caché de suivi des données et soulèvent des inquiétudes quant à la quantité d'informations que les gens donnent sans le savoir.

Suivi de localisation

Will Strafach a commencé à enquêter sur le trafic réseau en 2017, alors qu'il travaillait chez Guardian, une entreprise de sécurité mobile qu'il a cofondée.

L'entreprise a créé un outil logiciel que les entreprises pourraient utiliser pour analyser les propres applications de leurs clients, y compris le trafic réseau. La quantité de données de ces différentes applications a surpris Strafach.

Certaines applications ont donné des données de localisation, envoyant jusqu'à 200 enregistrements, chacun méticuleusement marqué, dans les 12 heures. Même lorsque les services GPS d'un téléphone étaient désactivés, Strafach a découvert des lacunes qui permettaient le suivi des données, telles que la collecte d'informations de localisation lorsqu'un téléphone était connecté à un réseau Wi-Fi.

Bien que vous deviez fournir à l'application AccuWeather votre position afin que vous puissiez indiquer la température où vous vous trouvez, elle fournissait également ces informations aux annonceurs, a découvert Strafach en 2017.

Capture d'écran de Sarah Mitroff / CNET

L'ampleur du problème est revenue à la maison quand il a découvert que AccuWeather, une application météo populaire, envoyait des données de localisation des utilisateurs même lorsque l'emplacement partagé était désactivé. "Quand c'était une vraie application où je l'utilisais, et je connaissais les gens qui l'utilisaient, c'était une alarme", a déclaré Strafach. "C'est alors que cela est devenu réel pour moi. Il est passé de & quot; C'est un problème & quot; à & quot; Cela devrait s'arrêter immédiatement & quot;".

AccuWeather n'a pas répondu à une demande de commentaire.

Strafach a constaté que les trackers de localisation cachés tels que AccuWeather & # 39; s sont l'un des plus gros problèmes de confidentialité pour les applications mobiles. Les gens accordent des autorisations aux applications pour leur objectif, comme trouver le gaz le moins cher à proximité, mais ils ne réalisent pas que les informations en arrière-plan sont partagées avec les courtiers de données.

Contrairement aux logiciels malveillants, que Strafach étudie également, ces applications sont autorisées sur les marchés Google et Apple, et dans certains cas, elles sont préinstallées sur les appareils. C'est pourquoi étudier ces applications en utilisant le trafic réseau qu'elles génèrent est devenu une nouvelle approche pour Strafach.

"Le trafic réseau est simple", a-t-il déclaré. "Si les données proviennent du téléphone, vous pouvez les voir. C'est aussi simple que cela."

Persistance

Bill Budington, technologue principal à l'Electronic Frontier Foundation, fait de l'analyse de réseau depuis plus d'une décennie, créant des outils comme Panopticlick pour montrer à quelle fréquence votre navigation Web est explorée.

L'année dernière, Budington a commencé à se concentrer sur les applications mobiles. Il a rapidement trouvé un réseau d'applications interconnectées qui partageait des informations sur les gens.

Bill Budington, technologue principal au personnel de l'EFF, analyse le trafic réseau depuis une décennie.

Gracieuseté de Bill Budington

En janvier, il a publié un rapport sur la société de portier vidéo d'Amazon, Ring, révélant que son application Android était remplie de trackers tiers, envoyant des informations personnellement identifiables aux annonceurs et à Facebook.

Souvent, ce n'est pas une seule application qui inquiète. C'est ainsi qu'ils sont tous unis, un réseau de données caché dans le code qui aide les trackers à construire une image complète de vous et de ce que vous faites.

Même si les entreprises affirment que les données sont anonymes, peu d'efforts sont nécessaires pour déterminer qui est une personne en fonction du lieu, du temps et de l'activité, qui peuvent tous être collectés.

"Si une application est destinée au visionnement ESPN et que vous disposez d'un outil de suivi tiers et que vous en avez également un dans l'application Nest, ils ont une très bonne vue de vous sur votre appareil", a déclaré Budington. "Plus cela se produit, plus les tiers peuvent découvrir ce que vous faites sur votre appareil."

La principale préoccupation de Budington avec les trackers est un concept appelé «empreinte digitale de l'appareil». C'est à ce moment qu'un traqueur cherche un moyen unique et persistant d'identifier un utilisateur, même lorsque les données sont censées être anonymes.

C'est un problème que les géants de la technologie ont tenté de résoudre. En 2018, Apple a annoncé qu'il allait commencer à bloquer les empreintes digitales de l'appareil dans son navigateur Safari.

Les empreintes digitales peuvent fonctionner de plusieurs façons. Certains trackers collecteront des données sur vos paramètres, sources et applications à utiliser comme empreinte digitale. Cela fonctionne car il est peu probable que quelqu'un d'autre ait exactement les mêmes paramètres.

Dans les applications mobiles, c'est encore plus facile car Apple et Google fournissent une identification publicitaire pour leurs appareils. Vous pouvez souvent modifier cet ID, mais les trackers peuvent toujours obtenir des données. Et parce qu'ils ont déjà l'adresse IP ou le numéro de matériel de leur appareil, il est assez facile de faire correspondre l'appareil avec le nouvel identifiant publicitaire.

Un effort d'équipe

À l'Institut international d'informatique de l'Université de Californie à Berkeley, Egelman dirige une équipe d'environ 10 chercheurs dans un laboratoire qui utilise plusieurs téléphones Android personnalisés programmés pour rechercher de nouvelles applications sur Google Play et découvrir quelles données chaque application prend des appareils.

Il enquête sur la confidentialité des mobiles depuis huit ans et a commencé à rechercher une analyse du trafic réseau au cours des cinq dernières années.

Serge Egelman dirige une équipe de chercheurs à UC Berkeley et utilise des appareils Android personnalisés pour suivre la façon dont les applications fournissent des données sur leurs utilisateurs.

Gracieuseté de Serge Egelman

Son équipe a modifié une version du système d'exploitation open source Android pour enregistrer toutes les données brutes envoyées à partir d'un appareil et à l'endroit où elles sont envoyées.

La version personnalisée permet à Egelman et à son équipe de voir tout ce qu'une application fait, pas seulement son trafic réseau. Dans certains cas, les applications ont tenté d'accéder aux données de localisation mais ne les ont pas envoyées sur le réseau. Vous avez trouvé des instances de données de localisation collectées mais masquées avant leur envoi sur le réseau.

L'outil recherche de nouvelles applications et les ajoute à une base de données, qui vérifie toutes les deux semaines si de nouveaux trackers ont été ajoutés au code d'une application.

Comme Budington, Egelman a déclaré que la plus grande préoccupation qu'il avait rencontrée lors de l'enquête sur les applications mobiles était les identifiants persistants. En 2019, Egelman a publié une enquête décrivant comment quelque 17000 applications Android créaient un enregistrement permanent de l'activité de l'appareil en liant un identifiant publicitaire à des identifiants uniques qui ne pouvaient pas être modifiés, tels que le numéro de matériel de leur appareil.

Plus d'un an plus tard, a-t-il dit, rien n'a changé.

"C'est complètement choquant, et personne ne le prend au sérieux", a déclaré Egelman. "Les consommateurs reçoivent une politique de confidentialité et peut-être quelques demandes d'autorisation. Les demandes ne couvrent pas les identifiants persistants qui sont utilisés. Ils n'ont aucun moyen de savoir si cela se produit et quand."

Ce que tu peux faire

Il n'y a pas grand-chose que vous puissiez faire pour vous protéger de ces trackers au-delà du téléchargement d'applications problématiques pour commencer. Mais à moins que vous ne sachiez quelles applications regarder, ce n'est qu'une opportunité dans le noir.

"C'est la chose numéro un", a déclaré Budington. «Il y a tellement de confusion dans cet espace et il n'y a pas de réponse claire à« comment je me protège ».

Il existe des moyens de résoudre ce problème. Mais ils ne sont pas parfaits.

L'empreinte digitale de l'appareil est l'un des problèmes les plus persistants rencontrés par les chercheurs avec les applications qui partagent leurs données avec des tiers.

Andrew Brookes / Getty Images

Egelman a pris l'outil de recherche de son laboratoire et l'a transformé en une méthode que les gens peuvent utiliser pour rechercher des applications problématiques sur leurs propres appareils.

Il ne s'attend pas à ce que tout le monde apprenne soudainement à faire une analyse du trafic réseau, ni à ce que les gens le fassent.

"Si une équipe de chercheurs est nécessaire pour écrire leurs propres outils et inspecter le trafic réseau afin de déterminer exactement quelles applications ils font, il n'est certainement pas raisonnable de s'attendre à ce que le consommateur moyen le fasse", a déclaré Egelman. "Au lieu de cela, nous avons besoin de groupes de vigilance et de régulateurs. Ils devraient le faire pour que les consommateurs n'en aient pas besoin."

Il a proposé ses outils via une startup appelée AppCensus qui lui permet de rechercher des applications et de voir quelles données sont envoyées, ainsi que où elles sont envoyées. L'équipe travaille également sur une application qui vous avertira chaque fois que des données d'identification seront envoyées aux trackers.

Si vous souhaitez approfondir, vous devrez peut-être apprendre certains concepts de base de l'analyse du trafic réseau. Par exemple, l'analyse AppCensus de Noonlight, une application de sécurité, a découvert qu'elle envoyait des données uniquement à Crashlytics. Un examen plus approfondi d'une enquête Gizmodo a révélé que Noonlight envoyait des données aux annonceurs.

Des outils tels que CharlesProxy sont disponibles pour télécharger et intercepter le trafic réseau depuis votre appareil. Cependant, apprendre à les utiliser est plus complexe.

Gardien & # 39; s Strafach a déclaré que son entreprise travaillait sur une mise à jour de son application de pare-feu qui informerait les gens chaque fois qu'une application prend plus de données qu'elle ne devrait l'être.

Il ne considère pas l'analyse du trafic réseau comme une pratique conventionnelle. Néanmoins, certaines personnes ayant la capacité technique de mener l'enquête pourraient être intéressées.

"Il y a beaucoup de gens qui aimeraient pouvoir trouver ces choses et trouver quelque chose de facile à utiliser", a déclaré Strafach. Si ce jour arrive, attendez-vous à ce que les gens soient beaucoup plus préoccupés par la vie privée.

Jouer maintenant: Voir ceci:

Parlons pourquoi les paramètres de confidentialité sont un problème

4:10

, ,

  • HAMMER Vélo d'appartement semi-allongé CleverFold RC5
    Modes / Programmes : 19 - Poids de la roue d'inertie : 8 kg - Résistance : Magnétique - Poids (Jusqu'à) : 110 kg - Dimensions : 133 x 62 x 95 cm - Ecran : LCD - Vélo D'appartement

  • PS4 1 To Crash Team Racing + Spyro + RC Hits - noire
    Contient : La PS4 500 Go noire et une manette DS4 noire Les jeux Ratchet & Clank, Spyro Reignited Trilogy et Crash Team Racing: Nitro Fueled
  • Sony PlayStation 4 Pro Console de jeux 4K HDR 1 To HDD noir de jais
    Un gameplay intense et vibrant, des films aux images époustouflantes et un niveau de détails incroyable à chaque instant. Véritable concentré de technologies de pointe, la PS4 Pro procure les expériences de jeu plus rapides, plus fluides et plus extrêmes.Les jeux brillent d'une vie intense et de détConsole Ps4
  • Sony PlayStation 4 Slim 500 Go + voucher Fortnite, Avec 1 manette sans fil DUALSHOCK 4 V2, Châssis F, Noir (Jet Black)
    PS4 Slim 500 Go avec manette sans fil DUALSHOCK 4 et voucher Fortnite inclus, Pour maximiser votre expérience de jeu et bénéficier des accessoires Neo Versa, Neo Phrenzy et 2000 V-Bucks Console rapide, silencieuse et à consommation réduite, Connectivité optimale avec PlayStation Plus pour diffuser, échanger et défier en ligne Contrôle total sur votre jeu et immersion assurée grâce à la manette ergonomique et intuitive DUALSHOCK 4 V2, Prise en charge de la technologie HDR pour profiter de graphismes époustouflants Espace idéal pour découvrir Fortnite et les derniers hits et exclusivités PlayStation (Red Dead, Death Stranding, Crash…), Accès au meilleur du divertissement (musique, cinéma, télé) sur diverses plateformes de contenu Contenu : 1x Sony PlayStation 4 Slim 500 Go F, Voucher Fortnite inclus, 1x Manette sans fil DUALSHOCK 4 V2, Oreillete-micro mono incluse, Câbles : Alimentation, HDMI, USB, Taille de la console : 26,5 x 3,9 x 28,8 cm, Couleur : Noir (Jet Black), Art : 711719940005
  • Console PS4 Slim 1To Noire/Jet Black + Ratchet & Clank + Crash Team Racing + Spyro Reignited Trilogy - PlayStation Officiel
    Ce pack contient une console PS4 Slim 1To noire (Châssis F), le jeu Crash Team Racing Nitro-Fueled, le jeu Spyro Reignited Trilogy et le jeu Ratchet & Clank en édition PlayStation Hits. Console Ps4
  • Super Mario Party Switch
    2 ans 2524647
  • Super Kirby Clash Standard | Nintendo Switch – Code jeu à télécharger
    Lancer dans la bataille avec Kirby! Participez à des missions et affrontez de puissants boss dans Super Kirby Clash, une aventure passionnante et gratuite * pleine d'action.
  • Star Wars Jedi: Fallen Order - Xbox One S - 1 To
    MICROSOFT 2 ans 234-01097
  • Xbox One S 1 To + 5 jeux Gears of War + 1 mois d'essai au Xbox Live Gold + 1 mois d'essai au Xbox Game Pass
    Xbox One S 1 To - Plus épurée. Plus fine. Plus performante.Console Xbox One
  • XBOX ONE S 1TB NAKED
    MICROSOFT
  • Xbox One S 1 To Forza Horizon 4 + DLC LEGO + 1 mois d'essai au Xbox Live Gold et Xbox Game Pass
    Xbox One S 1 To + Forza Horizon 4 + DLC LEGO + 1 mois d'essai au Xbox Live Gold et Xbox Game Pass + 1 manette sans fil Xbox One S + câble HDMI + 2 piles LR6Console Xbox One