Les applications sur Android ont pu déduire la présence d’applications spécifiques, ou même collecter la liste complète des applications installées sur l’appareil. De plus, une application peut également être configurée pour être notifiée lorsqu’une nouvelle application est installée.
Outre toutes les préoccupations habituelles concernant l’utilisation abusive d’une telle saisie de données, les informations peuvent être utilisées de manière abusive par une application potentiellement nuisible pour empreinte digitale d’autres applications installées, vérifier la présence d’antivirus, de fraude d’affiliation et même de publicités ciblées.
En 2014, Twitter a commencé suivi de la liste des applications installées sur les appareils des utilisateurs dans le cadre de son initiative «app graph» dans le but de fournir un contenu sur mesure. La société de portefeuille numérique MobiKwik a également été surprise en train de collecter des informations sur les applications installées à la suite d’une violation de données qui a été découverte plus tôt cette semaine.
En effet, une étude menée par un groupe de chercheurs suisses en 2019 a trouvé que «les applications gratuites sont plus susceptibles de rechercher de telles informations et que les bibliothèques tierces (libs) sont les principaux demandeurs de la liste des applications installées».
« Les utilisateurs ayant en moyenne 80 applications installées sur leur téléphone, la plupart étant gratuites, il y a de fortes chances que des tiers non approuvés obtiennent la liste des applications installées », ont ajouté les chercheurs.
Une autre étude universitaire publié en mars 2020 a également révélé que 4214 applications Google Play avaient amassé furtivement une liste de toutes les autres applications installées, permettant ainsi aux développeurs et aux annonceurs de créer des profils détaillés des utilisateurs. Les applications qui le font y parviennent généralement en utilisant ce que l’on appelle méthodes d’application installées – getInstalledPackages () et getInstalledApplications () – les chercheurs ont découvert que les applications dans les jeux, les bandes dessinées, la personnalisation, les automobiles et les véhicules et les catégories familiales étaient en tête de la liste des applications collectant ces informations.
L’année dernière, Google tenté pour freiner ce comportement en empêchant les applications d’accéder à ces informations par défaut à partir d’Android 11, tout en introduisant une nouvelle autorisation appelée « QUERY_ALL_PACKAGES » pour les applications qui doivent accéder à la liste des autres applications installées.
« Ce comportement de filtrage permet de minimiser la quantité d’informations potentiellement sensibles dont votre application n’a pas besoin pour répondre à ses cas d’utilisation, mais auxquelles votre application peut toujours accéder », a déclaré Google.
Désormais, pour tenter d’intensifier ses efforts pour limiter l’utilisation abusive de l’autorisation QUERY_ALL_PACKAGES, Google a m’a dit il traite l’inventaire des applications installées comme des données utilisateur personnelles et sensibles.
À compter du 5 mai 2021, l’autorisation sera limitée uniquement aux applications utilisées pour la recherche d’appareils, ainsi qu’aux applications antivirus, aux gestionnaires de fichiers et aux navigateurs. D’autres applications telles qu’une application bancaire dédiée ou une application de portefeuille numérique peuvent bénéficier de cette autorisation uniquement à des fins de sécurité.
Google a également déclaré qu’il n’autoriserait pas les applications à demander l’autorisation QUERY_ALL_PACKAGES lorsque les « données sont acquises à des fins de vente » ou que la tâche requise peut être réalisée par une autre méthode.
« Applications qui ne répondent pas aux exigences de la politique ou ne soumettent Formulaire de déclaration peut être supprimé de Google Play « , la société c’est noté. « Si vous modifiez la façon dont votre application utilise ces autorisations restreintes, vous devez réviser votre déclaration avec des informations mises à jour et exactes. Les utilisations trompeuses et non déclarées de ces autorisations peuvent entraîner la suspension de votre application et / ou la résiliation de votre compte de développeur. »