Le sécurité des applications mobiles est actuellement au coeur des débats et une nouvelle étude menée par des chercheurs de l'université de Cambridge s'intéresse à l'Android Market.
Il y a quelques semaines nous apprenions que plusieurs applications pour iOS étaient un peu trop curieuses. Twitter et Path invitent ainsi les internautes à autoriser l'accès à leur liste de contacts afin de repérer lesquels d'entre eux disposent de profil utilisateurs sur ces services. Cependant, plutôt que d'effectuer un scan, les noms, adresses email et numéros de téléphone des personnes figurant dans le carnet sont tout simplement envoyés vers les serveurs de la société. Apple a affirmé plancher sur un correctif mais déjà un sénateur américain a demandé aux autorités du commerce d'ouvrir une enquête.
Il semblerait en revanche que le système Android ne soit pas épargné. Des chercheurs de l'université de Cambridge expliquent avoir passé au crible 251 342 applications disponibles au travers de l'Android Market. 73% de celles-ci sont distribuées gratuitement et « l'analyse révèle que 80% de ces dernières sont supportées par de la publicité ciblée ». Outre un taux de téléchargement bien plus élevé que celui des applications payantes, « les applications gratuites demandent bien plus de permissions pour accéder aux informations sensibles comme la position géographique de l'utilisateur, les messages (email/sms), les contacts, le calendrier, le numéro de téléphone et le code IMEI ».
A titre d'exemple, au sein de la catégorie "BD", 35% des applications gratuites requièrent des droits d'accès à l'ensemble des données listées plus haut. Globalement, 70% des titres gratuits nécessiteraient de telles permissions contre 40% des applications payantes. Bien qu'Android spécifie clairement ces permissions « cette analyse révèle que ces alertes n'ont aucun impact sur la décision de l'utilisateur pour le téléchargement ». Autrement dit, une application demandant beaucoup de droits d'accès ne serait pas nécessairement boudée par les mobinautes.
Bien entendu, ces données personnelles n'intéressent pas directement les développeurs qui les transferent aux régies afin de retourner de la publicité ciblée. Les chercheurs de Cambridge souhaitent alors que les besoins du développeur soient dissociés de ceux de l'annonceur. Le blocage intempestif des droits d'accès limitera d'emblée le nombre d'applications pouvant être installées et l'envoi de fausses données se traduira par un mauvais ciblage publicitaire et donc moins d'applications disponibles gratuitement. Les chercheurs proposent alors de séparer ces permissions en expliquant plus clairement quelles données seront envoyées vers le développeur et quelles autres permettront d'obtenir des publicités plus pertinentes.
L'objectif est d'implémenter des fonctionnalités permettant de mieux protéger la vie privée de l'utilisateur pour ces deux usages. Le Dr Illias explique : « nous avons développé une méthode permettant de contrôler la quantité d'informations fournies aux annonceurs en fonction des revenus générés par le développeur. Cela signifie que si le développeur reçoit assez d'argent pour ses applications supportées par de la publicité, les informations privées pourront être manuellement bloquées par les utilisateurs ». Il s'agit donc de répondre aux besoins de chacun et de n'avoir recours à la publicité ciblée qu'en dernier lieu.
Précédemment un groupe de chercheurs de l'Université de Californie s'était intéressé à la fuite des données personnelles au travers des applications pour iOS. Au total, 1407 applications ont été testées dont 825 obtenues au travers de l'App Store et 526 téléchargées depuis le répertoire non officiel de BigBoss via Cydia pour les terminaux jailbreakés. 21% des applications approuvées par Apple présentaient certaines fuites contre seulement 4% pour les titres obtenus au travers de Cydia.
Reste à savoir si ces recherches permettront de restructurer le modèle économique des kiosques de téléchargements et de sécuriser les données personnelles des consommateurs.