Et également à des tiers, selon une étude
Une nouvelle étude menée par une équipe de chercheurs universitaires au Royaume-Uni a dévoilé une multitude de problèmes de confidentialité liés à l’utilisation de smartphones Android.
Les chercheurs se sont concentrés sur les appareils Android de Samsung, Xiaomi, Realme et Huawei, ainsi que sur LineageOS et /e/OS, deux forks d’Android qui visent à offrir un support à long terme et une expérience dépourvue de Google.
La conclusion de l’étude est inquiétante pour la grande majorité des utilisateurs d’Android .
Les chercheurs ont déclaré : “À l’exception notable de /e/OS, même lorsqu’elles sont configurées de manière minimale et que l’appareil est au repos, ces variantes d’Android personnalisées par le fournisseur transmettent des quantités substantielles d’informations au développeur du système d’exploitation et également à des tiers (Google, Microsoft, LinkedIn, Facebook, etc.) qui ont préinstallé des applications système“
Comme l’indique le tableau récapitulatif ci-après, les données sensibles des utilisateurs, comme les identifiants persistants, les détails de l’utilisation des applications et les informations de télémétrie, ne sont pas seulement partagées avec les fournisseurs d’appareils, mais vont également à divers tiers, comme Microsoft, LinkedIn et Facebook.
Et pour ne rien arranger, Google apparaît à l’extrémité réceptrice de toutes les données collectées sur la quasi-totalité du tableau.
Aucun moyen de le “désactiver”
Il est important de noter qu’il s’agit de la collecte de données pour lesquelles il n’y a pas d’option de désactivation, les utilisateurs d’Android sont donc impuissants face à ce type de télémétrie.
Cela est particulièrement inquiétant lorsque les fournisseurs de smartphones incluent des applications tierces qui collectent silencieusement des données même si elles ne sont pas utilisées par le propriétaire de l’appareil, et qui ne peuvent pas être désinstallées.
Pour certaines des applications système intégrées, comme miui.analytics (Xiaomi), Heytap (Realme) et Hicloud (Huawei), les chercheurs ont constaté que les données chiffrées peuvent parfois être décodées, ce qui expose les données à des attaques de type man-in-the-middle (MitM).
Source : Trinity College Dublin
Comme le souligne l’étude, même si l’utilisateur réinitialise les identifiants publicitaires de son compte Google sur Android, le système de collecte de données peut trivialement relier le nouvel identifiant au même appareil et l’ajouter à l’historique de suivi initial .
La désanonymisation des utilisateurs s’effectue à l’aide de diverses méthodes, telles que l’examen de la carte SIM, de l’IMEI, de l’historique des données de localisation, de l’adresse IP, du SSID du réseau ou d’une combinaison de ces éléments.
Source : Trinity College Dublin
Les forks Android respectueux de la vie privée, comme /e/OS, gagnent en popularité, car de plus en plus d’utilisateurs réalisent qu’ils n’ont aucun moyen de désactiver les fonctionnalités indésirables d’Android vanilla et recherchent davantage de confidentialité sur leurs appareils.
Cependant, la majorité des utilisateurs d’Android restent prisonniers d’un flux incessant de collecte de données. C’est là que les régulateurs et les organisations de protection des consommateurs doivent intervenir pour mettre un terme à cette situation.
Gael Duval, le créateur de /e/OS a déclaré : “Aujourd’hui, plus de gens comprennent que le modèle publicitaire qui alimente le business des OS mobiles est basé sur la capture industrielle de données personnelles à une échelle jamais vue dans l’histoire, au niveau mondial. Cela a des impacts négatifs sur de nombreux aspects de nos vies, et peut même menacer la démocratie comme on l’a vu dans des cas récents. Je pense que la réglementation est plus que jamais nécessaire concernant la protection des données personnelles. Cela a commencé avec le GDPR, mais ce n’est pas suffisant et nous devons passer à un modèle de “vie privée par défaut” au lieu de “vie privée en option”.“
Suivant sur les conclusions de l’étude, un porte-parole de Google a fourni le commentaire suivant : “Bien que nous apprécions le travail des chercheurs, nous ne sommes pas d’accord pour dire que ce comportement est inattendu – c’est ainsi que fonctionnent les smartphones modernes. Comme nous l’expliquons dans notre article du Centre d’aide des services Google Play, ces données sont essentielles pour les services de base des appareils tels que les notifications push et les mises à jour logicielles dans un écosystème diversifié d’appareils et de versions logicielles. Par exemple, les services Google Play utilisent des données sur les appareils Android certifiés pour prendre en charge les fonctions de base des appareils. La collecte d’informations de base limitées, telles que l’IMEI d’un appareil, est nécessaire pour fournir des mises à jour critiques de manière fiable sur les appareils et les applications Android.“
Une personne de l’équipe de développement de LineageOS a fait la déclaration suivante : “L’étude liée a choisi d’installer “opengapps” sur un appareil LineageOS (par page 6). Les applications Google ne sont pas préinstallées sur LineageOS. Nous n’avons aucun contrôle sur les données envoyées par les applications tierces qu’un utilisateur choisit d’installer, y compris les paquets de Google. Ces services ne sont ni obligatoires ni recommandés, et il existe des alternatives gratuites et open source (telles que microG et F-Droid).”
source : 01net