Littéralement malware? L’explosion figurative de l’application d’Uber


La semaine dernière, The Hacker News a publié un article sur l’application mobile offerte par le service de covoiturage Uber – il s’avère qu’un chercheur en sécurité de l’Arizona a procédé à l’ingénierie inverse de l’application Android pour voir quel type de données elle collectait, et sur la base de ses conclusions, elle l’a doublée. “Littéralement malware.” Maintenant, le Web explose avec discussion sur l’application elle-même, les autorisations mobiles et ce que cela signifie vraiment d’être un malware.

Ils cherchent quoi?

Les autorisations d’application sont déjà une pomme de discorde parmi les utilisateurs, en particulier en ce qui concerne les appareils Android. Google oblige souvent les développeurs à inclure des demandes d’autorisation très larges, même pour des fonctions simples, donnant l’impression que beaucoup plus de données sont consultées que nécessaire. Dans le cas d’Uber, un fil de discussion Ycombinator a révélé qu’il pouvait potentiellement accéder à une foule d’informations, notamment:

  • activité de l’application
  • vie de la batterie
  • informations sur l’appareil, y compris le fabricant, le modèle, le système d’exploitation et le code SDK
  • Données SMS
  • Données de connexion WiFi
  • Données de contacts
  • Données GPS
  • Informations sur les logiciels malveillants, telles que les vérifications des vulnérabilités Heartbleed

Une grande partie de ces données est logique: les données de connexion GPS et WiFi peuvent être utilisées pour déterminer votre position lors de la commande d’un trajet, tandis que les données du contrat vous permettent de partager les tarifs ou d’inviter des amis à utiliser l’application. Même les informations sur l’appareil ne sont pas totalement hors de propos: Uber dit qu’ils utilisent ces données pour attribuer un ID utilisateur unique.

Cependant, d’autres informations sont plus gênantes. Pourquoi Uber se soucierait-il de votre historique SMS, des informations sur les logiciels malveillants ou de l’autonomie de la batterie? Cela semble un peu intrusif, et si ces données sont vraiment renvoyées à l’entreprise, eh bien, il n’est pas difficile de voir pourquoi certains appellent l’application “malware”.

Pas si sinistre?

Mais ce n’est pas si simple. Le site Web suivant a fait des recherches et a constaté que pendant qu’Uber renvoyait toutes les informations nécessaires pour inciter les utilisateurs à se déplacer, l’application ne saisissait pas de SMS ou d’autres données pour la collecte. Uber l’a dit dans une déclaration à Cult of Mac, et a également souligné que d’autres services nécessitent souvent le même type d’autorisations.

Il convient également de mentionner que pour utiliser l’application Uber, les utilisateurs doivent d’abord la télécharger, puis accepter les autorisations telles que présentées. Bien que la société semble certainement intéressée à mettre la main sur tout ce qui pourrait améliorer «l’expérience utilisateur», il ne semble pas que son objectif soit de voler des informations personnelles – quel serait l’intérêt? Les utilisateurs découvriraient rapidement toute irrégularité et passeraient rapidement le mot. Comme indiqué par The Next Web, les autorisations ici ne sont peut-être pas le problème: c’est peut-être la façon dont elles sont présentées aux utilisateurs, comme si toutes leurs données étaient à gagner.

Territoire familier

Uber n’est pas la première application à avoir remis en question ses autorisations. Au Royaume-Uni, des responsables gouvernementaux demandent une enquête sur l’application mobile de Facebook et la possibilité qu’elle puisse prendre des photos ou enregistrer des vidéos sans autorisation. USA Today, quant à lui, souligne que de nombreuses applications gratuites demandent une multitude d’autorisations dont elles n’ont pas besoin – par exemple, les applications virtuelles pour animaux de compagnie et dictionnaire veulent accéder aux données GPS et aux microphones.

Alors, quel est le verdict final? L’application Uber est-elle «littéralement un malware»? Sorte de. Bien qu’il puisse potentiellement accéder à des informations sur l’appareil qui vont bien au-delà de sa compétence en tant qu’application de partage de trajet, il n’y a aucune preuve d’action malveillante. Uber a été critiqué récemment pour une foule d’autres problèmes, il n’est donc pas surprenant que leur application soit examinée de plus près – ce qui est vraiment découvert ici n’est pas le grand secret d’Uber, mais le fait que les applications Android en général demandent une portée beaucoup plus grande que dont ils ont réellement besoin. Une partie de cela est sur Google, tandis qu’une partie provient des développeurs d’applications eux-mêmes.

Quelle que soit la source, il n’en demeure pas moins que c’est aux utilisateurs de lire ce qu’ils acceptent et de décider ensuite si le risque vaut la récompense. Et c’est là que la construction de logiciels malveillants Uber s’effondre: les utilisateurs autorisent l’application à accéder à leur appareil en général. Avec la permission vient l’approbation tacite; si vous voulez de l’intimité, lisez toujours attentivement avant de cliquer sur «d’accord».

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map