Une quipe de chercheurs de l’universit d’dimbourg et du Trinity College de Dublin a publi un article dans lequel elle analyse le trafic transmis par un certain nombre d’applications prinstalles sur des smartphones de fabrication chinoise. Les rsultats ont t publis dans l’article intitul Android OS Privacy Under the Loupe – A Tale from the East, au dbut du mois. L’analyse des smartphones dots d’un micrologiciel conu pour le march chinois rvle qu’ils sont quips d’applications prinstalles qui transmettent des donnes sensibles la vie prive des domaines tiers sans consentement ni pravis. Cette situation soulve des inquitudes quant la faon dont la Chine peut surveiller les citoyens au-del de ses frontires.
Haoyu Liu (Universit d’dimbourg), Douglas Leith (Trinity College Dublin), ainsi que Paul Patras (Universit d’dimbourg) ont ralis l’tude, qui implique galement que la fuite d’informations personnelles reprsente un danger de traabilit important pour les clients de tlphones mobiles en Chine, galement lorsqu’ils se rendent l’tranger dans des pays o la rglementation en matire de protection de la vie prive est plus stricte. Dans un document intitul « Android Software Privacy Underneath the Loupe – A Story from the East », le groupe de chercheurs universitaires a tudi les applications du systme d’exploitation Android places sur trois revendeurs de tlphones intelligents en Chine : OnePlus, Xiaomi, ainsi que Oppo Realme.
La Chine est actuellement le pays qui compte le plus grand nombre d’utilisateurs de smartphones Android. Nous utilisons une combinaison de techniques d’analyse de code statique et dynamique pour tudier les donnes transmises par les applications systme prinstalles sur les smartphones Android de trois des fournisseurs les plus populaires en Chine , ont crit les chercheurs dans le rsum de l’article.
Les chercheurs notent que, bien que toutes leurs analyses aient t menes sur des tlphones achets en Chine, ils reconnaissent que les combins peuvent se comporter diffremment s’ils dtectent qu’ils se trouvent en dehors de la Chine. Pour en tenir compte, les chercheurs ont mis en place un tunnel rseau entre leur installation et une instance de Huawei Cloud Shanghai. L’adresse IP observe par le serveur dorsal est donc celle du serveur Huawei Cloud situ Shanghai. Nous avons configur chaque combin en utilisant le chinois comme langue afin de simuler un utilisateur local , peut-on lire dans le document.
Les chercheurs ont examin spcifiquement les informations transmises par le systme d’exploitation et les apps systme, afin d’exclure les logiciels installs par l’utilisateur. Ils supposent que les utilisateurs ont refus les analyses et la personnalisation, qu’ils n’utilisent pas de stockage dans le cloud ou de services tiers optionnels, et qu’ils n’ont pas cr de compte sur une plateforme gre par le dveloppeur de la distribution Android. Une politique sense, mais qui ne semble pas tre d’une grande aide.
L’ensemble d’applications prinstalles se compose du package Android AOSP, de code fournisseur et de logiciels tiers. Selon le document, plus de 30 logiciels tiers sont prsents dans chacun des appareils Android dots d’un micrologiciel chinois. Parmi eux, des applications de saisie en chinois comme Baidu Input, IflyTek Input et Sogou Input sur le Xiaomi Redmi Note 11. Sur le OnePlus 9R et le Realme Q3 Pro, il y a Baidu Map comme application de navigation de premier plan et le paquet AMap, qui fonctionne en permanence en arrire-plan. Et il y a aussi diverses applications d’actualits, de streaming vido et d’achat en ligne regroupes dans le firmware chinois.
Dans ce cadre limit, les chercheurs ont constat que les tlphones Android des trois fournisseurs cits envoient une quantit inquitante d’informations personnelles identifiables (PII) non seulement au fournisseur de l’appareil mais aussi des fournisseurs de services comme Baidu et des oprateurs de rseaux mobiles chinois .Les tlphones tests envoyaient les donnes mme lorsque ces oprateurs de rseau ne fournissaient pas de service, aucune carte SIM n’tait prsente ou la carte SIM tait associe un oprateur de rseau diffrent.
Les donnes que nous observons en cours de transmission comprennent des identifiants persistants d’appareils (IMEI, adresse MAC, etc.), des identifiants de localisation (coordonnes GPS, ID cellulaire du rseau mobile, etc.), des profils d’utilisateurs (numro de tlphone, schmas d’utilisation des applications, tlmtrie des applications) et des connexions sociales (historique/heure des appels/SMS, numros de tlphone des contacts, etc.) Combines, ces informations prsentent de srieux risques de dsanonymisation de l’utilisateur et de suivi tendu, d’autant plus qu’en Chine, chaque numro de tlphone est enregistr sous un identifiant citoyen , indiquent les chercheurs dans leur article.
titre d’exemple, les chercheurs affirment que le tlphone Redmi envoie des requtes postales l’URL « tracking.miui.com/track/v4 » chaque fois que les apps prinstalles Paramtres, Note, Enregistreur, Tlphone, Message et Appareil photo sont ouvertes et utilises, Les donnes sont envoyes mme si les utilisateurs dsactivent l’option « Envoyer les donnes d’utilisation et de diagnostic » lors du dmarrage de l’appareil.
Selon les chercheurs, la collecte de donnes partir de ces appareils ne change pas lorsque ceux-ci quittent la Chine, mme si les juridictions autres que l’Empire du Milieu appliquent des rgimes de protection des donnes plus stricts. Selon les chercheurs, cela signifie que les fournisseurs de tlphones cits et certains tiers peuvent suivre les voyageurs et les tudiants chinois l’tranger et en savoir plus sur leurs contacts l’tranger.
Les chercheurs ont galement constat qu’il y a trois quatre fois plus d’applications tierces prinstalles sur les distributions Android chinoises que sur les Android de base des autres pays. Et ces applications obtiennent huit dix fois plus d’autorisations pour les applications tierces que les distributions Android provenant d’autres pays. Dans l’ensemble, nos rsultats donnent une image troublante de l’tat de la confidentialit des donnes des utilisateurs sur le plus grand march Android du monde, et soulignent le besoin urgent de contrles plus stricts de la confidentialit afin d’accrotre la confiance des gens ordinaires dans les entreprises technologiques, dont beaucoup sont partiellement dtenues par l’tat , concluent les chercheurs.
Les chercheurs soulignent que Google et Apple collectent galement des donnes, notamment l’IMEI, l’IMSI et des donnes tlmtriques, auprs des utilisateurs en dehors de la Chine. Cependant, la quantit de donnes que les applications tierces envoient aux oprateurs de rseaux mobiles chinois et des socits comme Baidu est incroyablement alarmante et alimente les craintes que la Chine puisse se faire une ide des autres par l’analyse des donnes glanes auprs des citoyens chinois en dehors du pays. Il s’agit nanmoins d’un sujet de proccupation et, tant donn que les grandes entreprises technologiques dpendent de la collecte et de l’analyse des donnes, il est utile de garder un il sur la faon dont nos donnes sont utilises, non seulement en Chine, mais dans le monde entier.
Source : Cornell University
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi :
La Chine lance un smartphone « inviolable » quip d’une scurit quantique, qui chiffre les donnes de l’utilisateur l’aide de la distribution de cls quantiques
Le Canada interdit la socit chinoise Huawei d’utiliser les rseaux 5G, alors que les tats-Unis pressent leurs partenaires de renoncer aux quipements chinois
Vous ne pouvez pas avoir d’applications Google sur votre tlphone Huawei parce que Donald Trump l’a dit Google dissipe la confusion et parle des produits Huawei concerns
Les Etats-Unis accusent Huawei d’avoir vol la technologie de test de tlphone portable de T-Mobile, et vendu de la technologie amricaine l’Iran