Une application Crypto populaire aurait des liens avec une société de suivi des données : rapport

Les versions Android de l'application de Cryptomonnaie populaire Bitcoin Ticker Widget et un clone apparent de Steemit, Steemit Earn Money, incluaient des outils de kit de développement logiciel (SDK) qui extraient des données étendues sur les utilisateurs dans le passé et sont potentiellement liés au code de suivi de localisation de X-Mode, une société de suivi de données notoire, selon unnouveau rapport du laboratoire de sécurité numérique Express VPN. Deux autres applications de Finance personnelles contiennent également ces outils de suivi des données.

« Nous voulions dire aux consommateurs : « C’est un énorme problème ; vous n’en êtes peut-être pas conscients » », a déclaré Sean O’Brien, chercheur principal chezLaboratoire de sécurité numérique ExpressVPNMême si ces applications ne sont T toutes de grandes marques, elles ont été téléchargées 1,7 milliard de fois au total, et des millions de fois chacune. Elles sont installées sur les téléphones des utilisateurs, dans leurs poches. Ils les utilisent pour les rencontres, les réseaux sociaux et les finances, mais ils n'ont pas pleinement conscience de la quantité de données collectées.

Collecte de données personnelles

Alors que de nombreuses entreprises achètent et vendent l’accès aux données de localisation collectées à partir des téléphones de personnes sans méfiance, X-Mode a fait l’objet d’un examen minutieux après que ses liens avec des sous-traitants du gouvernement et l’armée ont été révélés.

En novembre 2020,Vice signaléX-Mode récupérait des données de localisation détaillées de plusieurs applications de prière musulmanes, puis vendait ces données « à des sous-traitants et, par extension, à l’armée ».

Sur le même sujet : Des échanges de cartes SIM aux menaces d'intrusion à domicile, la fuite de Ledger a des conséquences en cascade

Ce nouveau rapport, une enquête beaucoup plus approfondie sur cette question, a révélé que le code X-Mode était présent dans 44 % des 450 applications analysées, et que ces applications avaient été téléchargées au moins un milliard de fois.

« Ces applications sont mondiales et incluent des applications de santé, de météo, des jeux et des filtres photo de maquillage », peut-on lire dans le rapport.

« Ils circulent sur les téléphones des gens, qu'ils trouvent dans leurs poches. Ils les utilisent pour leurs rencontres, leurs activités sociales et leurs finances, mais ils n'ont pas pleinement conscience de la quantité de données collectées. »

Alors que Steemit Earn Money n'a été téléchargé qu'environ 100 fois, Bitcoin Ticker Widget a été téléchargé plus d'un million de fois.

En décembre, Apple et Google ont demandé aux développeurs deretirer X-Mode de leurs applications ou être banni de leurs magasins d'applications, mais à la fin du mois de janvier, selon le rapport, de nombreuses applications n'étaient pas encore conformes, ce qui a été confirmé par TechCrunch dans au moins un cas.

Au total, l’étude a examiné 450 applications Android pour le suivi des données.

SDK et courtiers de données de X-Mode

Les SDK sont des outils fondamentaux qui permettent aux développeurs de créer des applications plus rapidement et plus facilement. Cependant, ces outils peuvent contenir du code T essentiel au fonctionnement CORE d'une application. Ce code supplémentaire permet de suivre la localisation, d'extraire des données et, plus généralement, de relayer des informations au créateur du SDK. Ces informations peuvent ensuite être partagées ou vendues à diverses fins.

Lorsque les utilisateurs téléchargent une application et acceptent ses conditions d'utilisation et Juridique de Politique de confidentialité , ils peuvent par inadvertance accepter ces formes de collecte de données, même s'ils ne savent pas exactement entre les mains de qui les données peuvent se retrouver. Ces types de pratiques sont courantes dans le monde de la publicité ciblée, mais, comme cela a été documenté précédemment, les données peuvent également finir entre les mains des forces de l'ordre(même sans mandat), chasseurs de primes et autres.

Sur le même sujet : Comment un procès contre l'IRS tente d'étendre la Politique de confidentialité des utilisateurs de Crypto

« Le SDK X-Mode contient des références de code à cinq fournisseurs de données », a expliqué O’Brien. « Il s’agit d’autres entités que l’on appelle communément des “courtiers en données”. Parfois, ils vendent des données, parfois non. Bien que le sujet soit complexe, ces cinq entités sont des marques bien connues dans le secteur de la surveillance de localisation. »

« Ce qui semble se produire, en raison du code, c'est que ces fournisseurs de données entretiennent une relation commerciale avec X-mode, actuelle ou antérieure », a déclaré O’Brien. « Et s'ils sont activés dans ces applications, ces fournisseurs obtiennent également des informations de l'application qui utilise le SDK X-mode. »

OneAudience, Opensignal et suivi des données de localisation

OneAudience, inclus dans Bitcoin Ticker Widget et Steemit Earn Money, était un outil de suivi de type « courtier en données » référencé dans le code de X-Mode au sein du SDK. Il a fait l'objet d'une interdiction et action en justice intentée par Facebook concernant les violations de la Politique de confidentialité des données en raison des données collectées par le SDK de OneAudience.

En février 2020, Twitter et Facebook ont affirmé que « OneAudience avait collecté des données privées, telles que les noms, les sexes, les adresses e-mail, les noms d'utilisateur et potentiellement les derniers tweets des personnes » à un tel point qu'elle a été comparée à laCambridge AnalyticaScandale. Le SDK a été fermé fin 2019.

Opensignal, un autre outil de suivi de données, fonctionne principalement comme un mappeur WiFi, grâce auquel les emplacements des utilisateurs peuvent être déterminés.

Dans son procès contre OneAudience,selon RecodeFacebook a fait valoir que « OneAudience a également payé des applications pour collecter les informations Google et Twitter des utilisateurs lorsqu'ils se connectaient à ONEune des applications compromises en utilisant les informations de leur compte Google ou Twitter. »

Sur le même sujet : Ce malware insaisissable cible les portefeuilles de Crypto depuis un an

Lors de la fermeture du SDK faisant l'objet du procès, OneAudience a déclaré : « Nous avons été informés que des informations personnelles provenant de centaines d'identifiants mobiles pourraient avoir été transmises à notre plateforme OneAudience. Ces données n'étaient pas destinées à être collectées, n'ont jamais été ajoutées à notre base de données et n'ont jamais été utilisées. »

Le modèle économique d’Opensignal, en revanche, dépend principalement de son cas d’utilisation de cartographie Wi-Fi.

« La question est : quelle quantité de données Wi-Fi récupèrent-ils ? », a demandé O’Brien.

Dans sonJuridique de Politique de confidentialitéOpensignal déclare collecter des données de géolocalisation, « le type de réseau, l'opérateur de réseau, la force et la qualité du signal cellulaire et WiFi, ainsi que les identifiants des tours cellulaires et des routeurs WiFi connectés ».

OneAudience n'a pas répondu à une Request de commentaires. Opensignal, en réponse à une Request de commentaires, a dirigé les lecteurs vers sa Charte de Politique de confidentialité des données.

Une « grande quantité » de données personnelles

En prenant du recul et en examinant le rapport et le trafic réseau de ces applications, O'Brien a deux grandes conclusions à retenir en ce qui concerne l'impact sur la Politique de confidentialité de vos données.

« En général, les données ne sont pas très bien traitées », a-t-il déclaré. « Et il existe une quantité considérable de données qui peuvent servir à identifier une personne passant par le pipeline, même si la localisation est la seule raison invoquée pour collecter ces données. »

Si vous décidez de KEEP à utiliser des applications comme Bitcoin Ticker Widget et Steemit Earn Money, il existe des moyens de limiter leurs capacités de suivi des données. O'Brien recommande aux utilisateurs d'accéder aux paramètres et de vérifier les autorisations de l'application, notamment les autorisations de localisation, puis de les révoquer.

« Cela peut signifier que l'application devient moins fonctionnelle ou affiche des écrans lancinants demandant l'autorisation », a-t-il déclaré. « Sinon, malheureusement, la seule autre solution consiste à supprimer l'application. Si vous résidez en Californie ou dans l'Union européenne, d'autres démarches peuvent être nécessaires pour demander la suppression des informations, ou au moins une copie des informations détenues. »