Vidéo: itsme, l’application belge pour remplacer tous les mots de passe : un outil utile ? (Novembre 2024)
Certaines applications fiscales et financières associées pour Android et iOS peuvent collecter et partager des données utilisateur inutilement. Avez-vous une de ces applications sur votre appareil mobile?
Appthority a analysé plusieurs applications de gestion financière fiscale pour les appareils Android et iOS et a identifié une poignée de comportements à risque, notamment le suivi de la localisation des utilisateurs, l'accès à la liste des contacts et le partage de données utilisateur avec des tiers, a déclaré à SecurityWatch Domingo Guerra, président et fondateur d'Appthority.
De nombreuses applications transmettent des données utilisateur telles que l'emplacement et les informations de contact extraites du carnet d'adresses à des réseaux publicitaires tiers, a constaté Appthority. La plupart des communications avec les réseaux publicitaires se trouvaient en texte clair. S'il était logique que l'application H & R Block ait accès à l'emplacement de l'utilisateur, étant donné qu'elle permet aux utilisateurs de trouver la vitrine la plus proche, il n'était "pas très clair pourquoi" les applications restantes avaient besoin de ces informations.
"Les autres ne font que partager cet emplacement avec les réseaux de publicité", a déclaré Guerra.
La liste des applications comprenait des "applications grand nom pour la taxe et quelques nouveaux venus", telles que H & R Block TaxPrep 1040EZ et les applications complètes de H & R Block, TaxCaster et My Tax Refund de Intuit (la société à l'origine de TurboTax), la calculatrice de l'impôt sur le revenu 2012 d'un développeur nommé SydneyITGuy, et l'impôt fédéral 1040EZ de RazRon, a déclaré Guerra. Appthority a effectué son analyse à l'aide de son propre service automatisé de gestion des risques liés aux applications mobiles.
Faible à aucun cryptage
Les applications avaient généralement un cryptage faible et avaient choisi de protéger de manière sélective une partie du trafic de données, par opposition à un cryptage de tout le trafic, selon Appthority. Quelques-unes des applications (Guerra ne spécifiait pas lesquelles) utilisaient des chiffrements de chiffrement prévisibles au lieu de tirer parti de la randomisation du chiffrement. Les applications «sans nom», telles que celle de RazRon, n’utilisaient pas du tout le cryptage.
Une des applications de grands noms a inclus des chemins de fichier vers le code source dans ses informations de débogage dans l'exécutable. Les chemins de fichiers incluent souvent des noms d'utilisateur et d'autres informations pouvant être utilisées pour cibler le développeur d'applications ou la société, a déclaré Appthority. Encore une fois, Guerra n'a pas identifié l'application par son nom.
Bien que "ces informations ne fassent généralement pas l'objet d'un risque majeur", "cela devrait être évité si possible", a déclaré Guerra.
Exposer des données
Certaines des applications offraient une fonctionnalité permettant à l'utilisateur de prendre une photo du W2. Cette image était ensuite enregistrée dans le "film de l'appareil" de l'appareil, a constaté Appthority. Cela pourrait poser un grave problème aux utilisateurs qui téléchargent ou synchronisent automatiquement des services cloud tels que iCloud ou Google+ lorsque cette image est enregistrée dans des emplacements non sécurisés et potentiellement exposés.
Les versions iOS et Android de l'application H & R Block 1040EZ utilisaient des réseaux de publicité tels que AdMob, JumpTab et TapJoyAds, mais la version complète de l'application H & R Block ne contenait aucune publicité, a précisé Appthority.
iOS vs Android
Il n’y avait pas beaucoup de différences dans les types de comportements à risque entre les versions iOS et Android de la même application, a déclaré Guerra. La plupart des différences se résument à la manière dont le système d'exploitation gère les autorisations. Android exige que l'application affiche toutes les autorisations avant que l'utilisateur ne puisse installer et exécuter l'application selon une approche tout ou rien. En revanche, iOS demande la permission au fur et à mesure que la situation se présente. Par exemple, l'application iOS n'aura pas accès à l'emplacement de l'utilisateur tant que l'utilisateur n'aura pas utilisé la fonction de localisateur de magasin.
Selon les dernières règles, iOS 6 interdit aux développeurs d'applications de suivre les utilisateurs en fonction de leur ID de périphérique et de leurs numéros UDID ou EMEI. Cette pratique est encore courante parmi les applications Android. La version iOS de l'application H & R Block 1040EZ ne suit pas l'utilisateur, mais la version Android de la même application collecte l'ID de l'appareil mobile, les informations de construction et de version de la plate-forme mobile, ainsi que l'identifiant de l'abonné de l'appareil mobile, a déclaré Guerra.
L'application complète H & R Block sur les requêtes Android permet d'accéder à une liste de toutes les autres applications installées sur l'appareil. La version iOS de l'application n'a pas accès à ces informations car le système d'exploitation ne le permet pas.
Risqué ou pas?
Il n'y a rien de particulièrement risqué à ce stade, ces applications ne transmettent pas les mots de passe et les enregistrements financiers en texte clair. Cependant, il reste que les applications partagent inutilement les données des utilisateurs. À l'exception d'une application, aucune des autres applications n'offrait de fonction de localisateur de magasin. Pourquoi, alors, ces autres applications ont-elles besoin d'un accès à l'emplacement de l'utilisateur? Pourquoi ces applications ont-elles besoin d'accéder aux contacts de l'utilisateur? Cela ne semble pas nécessaire pour préparer les impôts.
Appthority a examiné certaines anciennes applications "pour prouver un point", a déclaré Geurra. La plupart de ces applications ont une date d'expiration, telle que les applications de taxe 2012, à laquelle les utilisateurs ne devraient plus l'utiliser après avoir fini de l'utiliser.
Ces "applications jetables" sont rarement extraites du marché et les utilisateurs doivent être conscients que ces applications ont accès aux données stockées sur leurs appareils.
