du 18 février 2019
Date

Choisir une autre édition

17 000 applications Android pistent les utilisateurs par des moyens poussés

Selon une étude de l’ICSI (International Computer Science Institute), environ 17 000 applications Android violeraient les conditions d’utilisation de la boutique Google Play pour cibler plus efficacement les utilisateurs.

Au lieu de se contenter du seul Advertising ID, ces applications s’abreuvent d’autres informations identifiantes : adresse MAC, IMEI et Android ID. Or, ces données ne peuvent pas être modifiées, ou très difficilement. Ensemble, elles constituent un redoutable moyen d’identification.

Comme le rapporte CNET, l’ICSI a transmis le résultat de ses recherches à Google, qui dit prendre le sujet très au sérieux. Des actions auraient déjà été entreprises contre certaines applications, mais on ne connait pas la portée de ces représailles.

L’éditeur confirme que des conditions d’utilisation sont bien violées par ces applications, mais sans dire lesquelles. Il est peu probable malheureusement que Google puisse rétablir la « justice » sans modifier profondément le fonctionnement de sa boutique.

Les développeurs ont en effet le droit d’utiliser l’adresse MAC, l’IMEI et le reste pour des raisons spécifiques, mais pas pour le ciblage publicitaire. Problème, Google ne peut vérifier cette bonne pratique que s’ils passent par son propre réseau publicitaire. Si les applications s’adressent à une autre crèmerie, il n'y a rien à faire.

Certaines des applications sont connues, mais ont été mises à jour entre temps. Cheetah Mobile par exemple, éditeur de Cheetah Keyboard et Mobile Doctor, ne se servirait de l’Android ID que pour le seul suivi du nombre d’installations. Mobile Doctor a par ailleurs été mis à jour en 2018 pour ne plus capter l’IMEI.

Le fait est que les résultats obtenus par l’ICSI ne font que braquer un peu plus les projecteurs sur un problème plus global : les activités secrètes des applications mobiles par manque de surveillance.

Apple a récemment eu le problème avec les fameux certificats d’entreprise, que des développeurs n’hésitaient pas à utiliser pour récupérer des données personnelles. Microsoft n’est pas épargnée, avec plusieurs PWA de son Store contenant des cryptominers, d’après des recherches de Symantec.

Les grandes plateformes n’ont donc pas le choix : elles doivent resserrer le contrôle et prendre des mesures plus radicales en cas de contournement ou violation. La peur de voir le nombre d’applications baisser sur une boutique n’est plus un argument depuis longtemps.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

L’application Premiere Rush, uniquement disponible sur iOS jusqu'ici, est désormais proposée sur Android. Tout du moins sur une sélection d’appareils puissants : Galaxy S10/10+, S9/9+, Note9, Note8, S10e, Google Pixel 3/3XL, 2/2XL et OnePlus 6T. La compatibilité grandira prochainement.

Les fonctionnalités sont les mêmes que dans la version iOS. Elles proviennent de Premiere et Audition et fournissent un flux simplifié avec édition audio et vidéo, correction des couleurs, nettoyage audio via machine learning, modèles Motion Graphics personnalisables, publication, etc.

Premiere Rush est bien entendu intégré dans le Creative Cloud d’Adobe. Toute action réalisée dans l’application est répercutée. Les projets peuvent donc être repris depuis d’autres appareils, pour être par exemple finalisés et publiés.

L’application peut être utilisée gratuitement (Starter) avec toutes les fonctions, mais un export limité à trois projets. L’abonnement lève la limite pour 9,99 dollars par mois pour un utilisateur unique, 19,99 dollars pour une équipe ou 29,99 dollars pour les entreprises. L’abonnement permet également de passer de 2 à 100 Go d’espace dans le cloud.

Copié dans le presse-papier !

Après six ans dans la société et trois ans à sa tête, Mandelbrot explique qu'il quitte ses fonctions pour « des raisons personnelles ». Il en profite pour dévoiler le nom de son successeur : Andy Yang, un ancien de Reddit et de 500px.

S'il n'en est pas fait mention dans le message de David Mandelbrot, la société aurait procédé à des licenciements, c'est du moins ce qu'affirment des sources à The Verge.

Interrogés sur ce point, Mandelbrot et Indiegogo ont refusé de commenter.

Copié dans le presse-papier !

Le mystérieux compte SandboxEscaper sur GitHub a publié récemment les détails de trois failles 0-day dans Windows.

La première a été publiée mardi et est de type escalade de privilèges. Elle réside dans le Windows Task Scheduler et peut permettre à un utilisateur authentifié localement d’obtenir les droits SYSTEM.

La deuxième, également de type escalade, a été publiée hier. Elle se trouve cette fois dans le service Windows Error Reporting. Exploitée, elle pourrait autoriser un utilisateur à modifier des fichiers normalement hors d’atteinte.

La dernière, elle aussi publiée hier, affecte Internet Explorer 11. Elle pourrait permettre à un code JavaScript d’être exploité avec des privilèges plus élevés que ce que ne permet la sandbox.

Ces trois nouvelles failles viennent s’ajouter aux quatre autres dont les détails avaient été publiés au cours de l’année écoulée. Aucune des sept vulnérabilités ne peut être exploitée à distance.

Elles ne sont donc pas critiques, mais restent sérieuses puisqu’un pirate pourrait gagner des droits administrateur depuis un compte classique s’il devait en obtenir un à distance. En outre, ces failles peuvent être éventuellement exploitées en conjonction d’autres brèches pour obtenir cette fois un scénario d’attaque distante.

Microsoft n’a pas encore réagi à ces informations.

Copié dans le presse-papier !

L'armée de l'air avait lancé un appel d'offres pour un montant de deux milliards de dollars pour développer des fusées capable d'envoyer dans l'espace des satellites de sécurité nationale.

Trois sociétés ont été retenues : United Launch Alliance (ULA), Northrop Grumman Innovation Systems et Blue Origin. SpaceX a donc été laissée de côté.

Aujourd'hui, la société d'Elon Musk se rebiffe et attaque en justice l'US Air Force l'accusant d'avoir « attribué à tort » les contrats à ses trois concurrents, comme l'explique CNBC.

SpaceX rappelle qu'elle dispose déjà de lanceurs commerciaux en service, contrairement aux autres.