Près de la moitié des communications des applications Android sont secrètes

Une équipe de chercheurs du Massachusetts Institute of Technology (MIT) s’est intéressée aux communications des applications Android dans l’étude Covert Communication in Mobile Application.

L’analyse des 500 applications Android gratuites les plus téléchargées montre que 46,2 % de leurs communications sont secrètes. Pour les treize applications les plus populaires, ce pourcentage grimpe à 63 %.

Est considérée comme secrète toute communication qui ne produit pas de valeur tangible pour l’utilisateur, et qui est cachée et inattendue du point de vue de son utilisateur.

Ces communications secrètes ont généralement des impacts négatifs pour leurs utilisateurs : violation potentielle de leur vie privée, frais de communication, durée de vie des batteries.

À peu près la moitié du trafic est liée à l’analytique : la collecte d’informations sur la performance d’une application, son nombre de crashs, son utilisation, et les actions exactes réalisées par l’utilisateur dans l’application. Ces données ont une valeur claire pour le développeur, mais aucune pour le client, auquel les éditeurs se gardent bien de dévoiler la nature et la fréquence de ces collectes de données.

Parmi ce genre de communications secrètes, on ne sera pas étonné de voir les modules, communément utilisés par de nombreuses applications, de Google, Facebook ou de services de publicité. On sera plus étonné de constater que 87,4 % des communications des 17 applications testées de l’éditeur de jeux français Gameloft soient secrètes.

Les chercheurs notent que certaines applications envoient des données secrètes analytiques avant même leur lancement : *

« En fait, certaines applications commencent à collecter les informations analytiques avant même d’être activées. Par exemple, twitter, Wal-Mart et Pandora commencent leur collecte de données dès que le téléphone est démarré et continuer, périodiquement, tant que le téléphone est en marche, même si les applications elles-mêmes n’ont jamais été utilisées. Dans la plupart des cas, l’utilisateur ne peut pas refuser de partager ces données sans désinstaller l’application. »

Ils n’ont pu qualifier l’autre moitié des communications secrètes.

 

* Traduction : Le Diligent