Android : des captures d’écrans et des screencasts faits à l’insu des utilisateurs

Depuis peu, on s’est rendu compte que des captures d’écrans et des screencasts étaient effectués pour être envoyés à des tiers sans que l’utilisateur en soit averti. Après les scandales de Facebook sur le transfert de données personnelles, il se pourrait bien que nos smartphones deviennent nos pires ennemis.

Jamais seul face à nos appareils

Si vous pensiez que votre smartphone était votre petit jardin secret, sachez qu’en réalité, il est loin d’être le confident que vous imaginiez. En effet, lorsque les éditeurs conçoivent des applications, de nombreuses pages publicitaires s’y glissent avec également des outils qui peuvent analyser vos clics et le parcours que vous effectuez sur votre téléphone. Pour limiter ces problèmes, vous pouvez utiliser le bloqueur de publicité pour Android de AdGuard.

Ce qu’on ignorait jusqu’à présent, c’est que certaines de ces applications vont jusqu’à pister leurs utilisateurs avec des captures d’écrans et des captures vidéos pour les transmettre ensuite à des tiers. Soi-disant, cela serait mis en place afin de savoir si l’interface graphique réalisée était efficace et plaisait aux utilisateurs.

C’est un groupe de chercheurs de Northeastern University et UC Santa Barbara qui a réalisé des analyses sur plus de 17 000 applications pour Android. L’idée derrière cette étude était de savoir si les applications pouvaient abuser de leurs droits d’accès au micro et au module caméra. Heureusement, ils n’ont pas pu confirmer cette thèse. Mais, pas rassurant pour autant, ils ont pu analyser que de nombreuses applications procédaient à d’étranges transferts d’images et de vidéos.

Captures d’écran, vidéos et screencasts envoyés en cachette

Le groupe de chercheurs s’est alors rendu compte que l’une des applications les plus invasives était GoPuff, une appli mobile d’un service de livraison. Cette dernière a enregistré de nombreux screencasts pour les envoyer ensuite à AppSee, un prestataire d’analyse d’applications mobiles. Certaines captures montreraient même le code postal de l’utilisateur. Bien évidemment, AppSee s’est défendue affirmant ne pas utiliser les données personnelles à des fins commerciales.

SAHIC, une appli mobile d’une conférence professionnelle, a également rencontré des difficultés puisqu’elle envoyait régulièrement des copies d’écran à TestFairy, un prestataire d’analyse applicative destiné aux bêta tests. Cette fois-ci, ce n’est pas le code postal qui est mis en jeu mais plutôt les contacts de l’utilisateur ainsi que ses messages.

Enfin, les éditeurs de photos seraient également au cœur de ce scandale puisque le traitement d’images serait effectué sur les serveurs du fournisseur. Les photos sont donc transférées à l’insu de l’utilisateur. Toutes ces techniques sont donc un risque très important concernant notre vie privée et la protection de nos données personnelles.