Analyse de l'exposition non sécurisée des publicités in-app mobiles

Ces dernières années, les ventes de smartphones ont connu une croissance explosive, accompagnée de la disponibilité d'un nombre énorme d'applications pour smartphones (ou simplement d'apps). Les utilisateurs finaux ou consommateurs sont attirés par les nombreuses fonctionnalités intéressantes offertes par ces appareils et les apps associées. Les développeurs de ces apps bénéficient également de la perspective d'une compensation financière, soit en vendant directement leurs apps, soit en intégrant l'une des nombreuses bibliothèques publicitaires disponibles sur les plateformes de smartphones. Dans cet article, nous nous concentrons sur les risques potentiels pour la vie privée et la sécurité posés par ces bibliothèques de publicités intégrées ou in-app (désormais appelées "bibliothèques publicitaires" pour plus de clarté). À cette fin, nous étudions la plateforme Android populaire et recueillons 100 000 apps sur le marché officiel d'Android entre mars et mai 2011. Parmi ces apps, nous identifions 100 bibliothèques publicitaires in-app représentatives (intégrées dans 52,1 % d'entre elles) et développons un système appelé AdRisk pour identifier systématiquement les risques potentiels. En particulier, nous désolidarisons d'abord les bibliothèques publicitaires intégrées des apps hôtes, puis appliquons notre système pour examiner statiquement les bibliothèques publicitaires, allant de la possibilité de télécharger des informations sensibles sur la vie privée vers des serveurs (publicitaires) distants à celle de télécharger du code non fiable depuis des serveurs distants. Nos résultats montrent que la plupart des bibliothèques publicitaires existantes collectent des informations privées : certaines d'entre elles peuvent être utilisées à des fins de ciblage légitimes (c'est-à-dire, la localisation de l'utilisateur), tandis que d'autres sont difficiles à justifier en collectant de manière invasive des informations telles que les journaux d'appels de l'utilisateur, son numéro de téléphone, ses favoris de navigateur, ou même la liste des apps installées sur le téléphone. De plus, d'autres vont encore plus loin en utilisant un mécanisme non sécurisé pour récupérer et exécuter directement du code depuis Internet, ce qui entraîne immédiatement des risques de sécurité sérieux. Notre enquête indique que la relation symbiotique entre les bibliothèques publicitaires intégrées et les apps hôtes est l'une des principales raisons derrière ces risques exposés. Ces résultats montrent clairement la nécessité de mieux réguler la façon dont les bibliothèques publicitaires sont intégrées dans les apps Android.