Données sensibles : comment certaines applications contournent-elles le système de permissions d'Android ?
https://www.inria.fr/fr/laureat-prix-cnil-inria-2021-securite-applications-android — 24 mai. 2022 — Joël Reardon

Des dizaines de milliers d'applications qui contournaient activement le système de permissions d'Android, pour accéder à des données sensibles, sans que l'utilisateur en soit conscient et sans son consentement éclairé.

OpenX — « Ils avaient un bloc de code qui était vraiment stupéfiant, parce que non obfusqué, ce qui me permettait de le lire. Il vérifiait d'abord si l'utilisateur avait la permission d'accéder à l'adresse MAC du routeur. Si l'utilisateur pouvait accéder à l'adresse MAC du routeur, il le faisait de la manière correcte. Mais si vous n’aviez pas la permission d'accéder à l'adresse MAC, il le remarquait et appelait une autre fonction, intitulée getMacAddressFromARP, qui exploitait le fait que la même information est disponible dans le cache ARP du système. Au lieu de signaler la vulnérabilité à Google et d'y remédier, OpenX l'a exploitée - uniquement lorsqu'elle n'avait pas la permission de l'obtenir légitimement. »
[…]
Parmi les données visées par ces failles : les identifiants persistants, comme les numéros de série, qui ne peuvent tout simplement pas changer.
[…]
Les données de localisation peuvent prendre la forme de coordonnées GPS précises, ou de substituts tels que les adresses MAC ou SSID des routeurs. « Ces dernières ont tendance à avoir un certain nombre de canaux secondaires d'accès (*), uniquement parce que des choses comme les adresses MAC des routeurs n'ont jamais été censées être des secrets, ou représenter la localisation, mais le sont devenues progressivement ».
[…]
« Les applications fournissent une notification par le biais des demandes d'autorisation, et les utilisateurs donnent leur consentement en acceptant les conditions et en installant l'application. En ne demandant pas d'autorisation et en obtenant sournoisement les mêmes informations par un canal secondaire ou secret, les applications peuvent se présenter comme respectueuses de la vie privée et tromper les consommateurs ».

Identifiants persistants - « Nous avons remarqué qu'un certain nombre d'applications enregistrent les numéros de série de l'appareil, comme l'adresse MAC ou l'IMEI, sur la carte SD afin que d'autres applications qui n'ont pas l'autorisation d'y accéder puissent les lire ». Un véritable problème, Android interdisant l'accès à l'adresse MAC depuis 2015 et, plus récemment, à l'IMEI. Si une application l'a conservée sur le stockage partagé de l’utilisateur, elle sera ainsi accessible tant que les applications seront autorisées à avoir ce stockage partagé commun.
⇒ Ne pas utiliser de carte SD.
[…]
Les correctifs ont été publiés dans Android 10. […]

(*) Canal secondaire, canal secret, canal latéral, canal secondaire d'accès.

L’article “DatashareNetwork: A Decentralized Privacy-Preserving Search Engine for Investigative Journalists”, présente le premier moteur de recherche conçu pour les journalistes d'investigation, préservant de bout en bout la vie privée. — https://www.usenix.org/conference/usenixsecurity20/presentation/edalatnejad#:~:text=DatashareNetwork%20combines%20well%2Dknown%20anonymous,peer%20private%20document%20search%20engine.
[…]
Il a pour objectif de permettre aux journalistes du monde entier de recueillir de meilleures informations pour leurs enquêtes au travers d’un réseau réservé de pairs, tout en leur promettant de solides garanties de confidentialité afin de les protéger, mais aussi de garantir la sécurité de leurs sources.