Une étude révèle l’ampleur du partage de données à partir de téléphones mobiles Android

Une analyse approfondie d’une gamme de téléphones mobiles Android populaires a révélé une collecte et un partage de données importants, y compris avec des tiers, sans possibilité de retrait pour les utilisateurs.

Le professeur Doug Leith du Trinity College de Dublin, le Dr Paul Patras et Haoyu Liu de l’Université d’Édimbourg ont examiné les données envoyées par six variantes du système d’exploitation Android développé par Samsung, Xiaomi, Huawei, Realme, LineageOS et /e/OS.

Même lorsqu’elles sont configurées de manière minimale et que le combiné est inactif, à l’exception notable d’e/OS, ces variantes Android personnalisées par le fournisseur transmettent des quantités substantielles d’informations au développeur du système d’exploitation et à des tiers tels que Google, Microsoft, LinkedIn et Facebook qui ont applications système préinstallées. Il n’y a pas de retrait de cette collecte de données.

Bien qu’une communication occasionnelle avec les serveurs OS soit à prévoir, les auteurs de l’étude affirment que la transmission de données observée va bien au-delà et soulève un certain nombre de problèmes de confidentialité.

Le professeur Doug Leith, directeur des systèmes informatiques à la School of Computer Science and Statistics du Trinity College de Dublin, a déclaré: « Je pense que nous avons complètement raté la collecte massive et continue de données par nos téléphones, pour laquelle il n’y a pas de retrait. Nous « ont été trop concentrés sur les cookies Web et sur les applications qui se comportent mal. J’espère que notre travail agira comme un signal d’alarme pour le public, les politiciens et les régulateurs. Une action significative est nécessaire de toute urgence pour donner aux gens un contrôle réel sur les données qui laissent leurs téléphones. »

Le Dr Paul Patras, professeur agrégé à l’École d’informatique de l’Université d’Édimbourg, a déclaré : « Bien que nous ayons vu des lois de protection des informations personnelles adoptées dans plusieurs pays ces dernières années, notamment par les États membres de l’UE, le Canada et la Corée du Sud, les pratiques de collecte de données des utilisateurs restent répandues. Plus inquiétant encore, de telles pratiques ont lieu « sous le capot » sur les smartphones à l’insu des utilisateurs et sans moyen accessible de désactiver une telle fonctionnalité. Les variantes Android respectueuses de la confidentialité gagnent du terrain et nos conclusions devraient inciter fournisseurs leaders du marché à emboîter le pas.

Principales conclusions de l’étude :

• À l’exception d’e/OS, tous les fabricants de combinés examinés recueillent une liste de toutes les applications installées sur un combiné. Il s’agit d’informations potentiellement sensibles car elles peuvent révéler les intérêts des utilisateurs, par exemple, une application de santé mentale, une application de prière musulmane, une application de rencontres gay, une application d’actualités républicaines. Il n’y a pas de retrait de cette collecte de données.
• Le combiné Xiaomi envoie les détails de tous les écrans d’application consultés par un utilisateur à Xiaomi, y compris quand et combien de temps chaque application est utilisée. Cela révèle, par exemple, le moment et la durée des appels téléphoniques. L’effet s’apparente à l’utilisation de cookies pour suivre l’activité des personnes lorsqu’elles se déplacent entre les pages Web. Ces données semblent être envoyées en dehors de l’Europe vers Singapour.
• Sur le combiné Huawei, le clavier Swiftkey envoie à Microsoft les détails de l’utilisation de l’application au fil du temps. Cela révèle, par exemple, lorsqu’un utilisateur écrit un texte, en utilisant la barre de recherche, recherche des contacts.
• Samsung, Xiaomi, Realme et Google collectent des identifiants d’appareil à longue durée de vie, par exemple le numéro de série du matériel, ainsi que des identifiants publicitaires réinitialisables par l’utilisateur. Cela signifie que lorsqu’un utilisateur réinitialise un identifiant publicitaire, la nouvelle valeur d’identifiant peut être re-liée de manière triviale au même appareil, compromettant potentiellement l’utilisation d’identifiants publicitaires réinitialisables par l’utilisateur.
• Des applications système tierces, par exemple de Google, Microsoft, LinkedIn et Facebook, sont préinstallées sur la plupart des combinés et collectent des données en silence, sans option de retrait.
• Il peut exister un écosystème de données où les données collectées à partir d’un combiné par différentes sociétés sont partagées/liées. Notamment, il a été observé que la variante e/OS d’Android axée sur la confidentialité ne transmettait pratiquement aucune donnée.