Les applications ont été découverts par des chercheurs des laboratoires Intel, l’université Penn State et l’Université Duke. Ensemble, ils ont lancé un projet visant à construire des outils pour surveiller la façon dont les applications accèdent et utilisent les données confidentielles, puis pour étudier et exposer le comportement manifesté par les applications actuelles du monde réel.
L’étude a été subventionnée par la Fondation Nationale de la Science aux Etas unis. Les chercheurs ont choisi au hasard les 30 applications gratuites les plus populaires parmi les 358 applications sur le marché d’Android qui ont accès à l’Internet et aux données confidentielles, telles que l’emplacement géographique, l’appareil photo du smartphone et les systèmes audio, et les informations téléphoniques. Ils ont créé un outil de suivi appelé “TaintDroid” pour voir les applications lorsqu’elles sont en utilisation. L’équipe a constaté que 15 applications parmi 30 partagent les informations de l’emplacement avec des serveurs distants de réseau publicitaire. Sept autres applications partagent des identificateurs de téléphone avec un serveur Internet distant.
Quelques applications partagent l’emplacement avec des serveurs publicitaires uniquement lors de l’affichage des annonces à l’utilisateur, tandis que d’autres partagent les informations même lorsque l’utilisateur n’a pas encore lancé l’application. Dans certains cas, les informations de l’emplacement se partagent toutes les 30 secondes.
Les chercheurs ont limité leurs recherches à Android, car «il a de nombreuses caractéristiques en commun avec d’autres plates-formes populaires de smartphone, et parce qu’il est un système libre, ce qui a obligé l’équipe de construire leur outil de suivi « TaintDroid ».
Comment fonctionne TaintDroid ?
TaintDroid utilise une technique scientifique appelée «dynamic taint analysis ». Cette technique marque l’information intéressante avec un identificateur appelé «taint». Cette trace, ou tag, reste avec l’information quand elle est utilisée. Par exemple, TaintDroid peut retracer l’origine de l’information, telle que le système GPS d’un smartphone, lorsque l’information marquée est envoyée à l’Internet.
