En ce qui concerne les applications, Android mène le peloton avec près de 3 millions d’applications dans sa boutique officielle Google Play. Le volume même signifie également que parfois les applications douteuses passent entre les mailles du filet.

Chercheurs au Conseil international de la responsabilité numérique (IDAC), un organisme de surveillance à but non lucratif basé à Boston, a découvert qu’un trio d’applications populaires et apparemment innocentes destinées aux jeunes utilisateurs enfreignaient les politiques de collecte de données de Google, accédant potentiellement à l’identifiant Android et à l’AAID des utilisateurs (publicité Android ID), la fuite de données étant potentiellement liée aux applications en cours de création à l’aide des SDK d’Unity, Umeng et Appodeal.

Collectivement, les applications ont enregistré plus de 20 millions de téléchargements entre elles.

Les trois applications en question – Salon de la princesse, Coloration des nombres etChats et Cosplay – ont maintenant été supprimés de l’App Store de Google Play, comme vous pouvez le voir dans les liens ci-dessus. Google nous a confirmé avoir supprimé les applications après que l’IDAC ait porté les violations à son attention.

« Nous pouvons confirmer que les applications référencées dans le rapport ont été supprimées », a déclaré un porte-parole de Google. « Chaque fois que nous trouvons une application qui enfreint nos règles, nous agissons. »

Publicité

Les violations indiquent une préoccupation plus large concernant l’approche des trois éditeurs en matière de respect des politiques de protection des données. «Les pratiques que nous avons observées dans notre recherche ont soulevé de sérieuses préoccupations concernant les pratiques de données au sein de ces applications», a déclaré le président de l’IDAC, Quentin Palfrey.

L’incident est mis en évidence à un moment où une grande attention est portée sur Google et la taille de son opération. Plus tôt cette semaine, le ministère américain de la Justice et 11 États a poursuivi la société, l’accusant de comportement monopolistique et anticoncurrentiel dans la publicité de recherche et de recherche.

Pour être clair, les violations des applications ici ne sont pas liées à la recherche, mais elles soulignent l’ampleur du fonctionnement de Google et comment même de petits oublis peuvent entraîner des dizaines de millions d’utilisateurs. Ils rappellent également les défis de la police proactive des violations individuelles à une telle échelle, et que ces défis peuvent atterrir dans un domaine particulièrement risqué: la façon dont les mineurs utilisent les applications.

Au moins dans le cas de deux des éditeurs, APPLICATIONS créatives et Libii Tech (dont les applications sont construites autour du casting de personnages illustrés en haut de cette histoire), d’autres applications sont toujours en ligne. Et il semble également que les versions des applications soient également toujours téléchargeables via des sites APK (comme celui-là). Il existe également des versions sur iOS (par exemple ici), mais l’équipe technique de l’IDAC a déclaré que dans une analyse initiale, elle n’avait pas immédiatement vu de préoccupations analogues, mais continuerait à surveiller la situation.

La violation dans ce cas est complexe mais est un exemple de l’une des façons dont les utilisateurs peuvent être suivis sans le savoir via des applications.

Soulignant l’activité en coulisse et le traitement des données qui sont chargés dans des applications d’apparence innocente, IDAC a mis en évidence trois SDK notamment utilisés par les développeurs d’applications: le Unité Moteur 3D et jeu, Umeng (un fournisseur d’analyse appartenant à Alibaba, connu sous le nom de « Rafale de Chine”Que certains ont également décrit comme un fournisseur de logiciels publicitaires) et Appodeal (un autre fournisseur de monétisation et d’analyse d’applications) – en tant que source des problèmes.

Palfrey a expliqué que le problème réside dans la manière dont les données auxquelles les applications ont pu accéder via les SDK pourraient être liées à d’autres types de données, telles que les informations de géolocalisation. «Si les informations AAID sont transmises en tandem avec un identifiant persistant [such as Android ID] il est possible que les mesures de protection que Google met en place pour la protection de la vie privée soient comblées », a-t-il déclaré.

L’IDAC n’a pas spécifié les violations dans tous les SDK, mais a noté dans un exemple que certaines versions du SDK d’Unity collectaient simultanément l’AAID et l’ID Android de l’utilisateur, ce qui aurait pu permettre aux développeurs de «contourner les contrôles de confidentialité et de suivre les utilisateurs au fil du temps. et sur tous les appareils. »

L’IDAC décrit l’AAID comme «le passeport pour regrouper toutes les données sur un utilisateur en un seul endroit». Il permet aux annonceurs de cibler les publicités sur les utilisateurs en fonction des signaux de préférences d’un utilisateur. L’AAID peut être réinitialisé par les utilisateurs. Cependant, si un SDK fournit également un lien vers un identifiant Android d’utilisateur, qui est un numéro statique, il commence à créer un «pont» pour identifier et suivre un utilisateur.

Palfrey ne serait pas trop précis sur la question de savoir s’il pouvait déterminer la quantité de données réellement tirée à la suite des violations qu’il a identifiées, mais Google a déclaré qu’il continuait à travailler sur des partenariats et des procédures pour attraper des mauvais acteurs similaires (intentionnels ou non). .

« Un exemple du travail que nous faisons ici est le programme de certification des annonces pour les familles, que nous avons annoncé en 2019) », a déclaré le porte-parole. «Pour les applications qui souhaitent diffuser des annonces dans les applications pour enfants et familles, nous leur demandons de n’utiliser que des SDK publicitaires qui sont auto-certifiés conformes aux politiques relatives aux enfants / familles. Nous exigeons également que les applications qui ciblent uniquement les enfants ne contiennent pas d’API ou de SDK qui ne sont pas approuvés pour une utilisation dans les services destinés aux enfants. « 

IDAC, qui a été lancé en avril 2020 en tant que spin-off du Future of Privacy Forum, a également mené des enquêtes sur les violations de la confidentialité des données sur les applications de fertilité et les trackers COVID-19, et plus tôt cette semaine, il a également résultats publiés sur les fuites de données d’une ancienne version du SDK MoPub de Twitter affectant des millions d’utilisateurs.

Rate this post
Publicité
Article précédentGuide d’achat de Cadence Of Hyrule Physical Edition
Article suivantComment envoyer des messages à Facebook Messenger à partir d’Instagram – Gadgets à utiliser
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici