Traqueurs et autorisations Android : Est-ce que j'ai dit que vous pouviez faire cela ? (traduction)

Au fur et à mesure que les internautes se sont familiarisés avec les nouvelles technologies, de nombreuses personnes ont développé leur propre liste de signaux d'alerte pour les "applications frauduleuses" à surveiller. Il peut s'agir de choses aussi simples que les mauvaises critiques, des descriptions d'applications mal rédigées ou des choses qui semblent tout simplement douteuses. La plupart des gens ont déjà navigué sur Internet pendant un certain temps et ils peuvent détecter des logiciels espions à des millions de kilomètres de distance.

Mais lorsque vous n'êtes pas sûr, lorsque certaines choses vous semblent correctes et d'autres non, vous avez besoin de faits concrets pour vous aider. Pour beaucoup de gens, les autorisations requises par une application sont l'une des premières choses à vérifier.

Vous ne devez pas... avoir de permission !

Les autorisations sont très importantes dans le monde de la téléphonie mobile, elles peuvent donner aux applications le droit d'accéder au matériel de votre téléphone Android (comme l'appareil photo) ou à des informations personnelles (comme votre position géographique). Et les applications ne sont pas comme les enfants de la maternelle qui demandent à leur professeur s'ils peuvent aller aux toilettes - la plupart du temps, les applications reçoivent des permissions sans le demander explicitement.

Les autorisations plus sérieuses (comme les données de localisation) vous obligeront normalement à les donner manuellement, mais si l'application demande des autorisations qui ne sont pas directement expliquées par sa fonctionnalité, vos réflexes anti-escroqueries devraient être brouillés.

N'oubliez pas que la taille de la liste des autorisations n'a pas nécessairement d'importance : certaines applications peuvent nécessiter beaucoup d'autorisations, mais il peut y avoir des raisons légitimes pour lesquelles elles les demandent.

Jetons un coup d'œil à certains des meilleurs messagers privés du monde, et voyons quels types d'autorisations ils demandent sur Android - et pourquoi.

Version des applications testées : Status v1.3.0, Wickr v5.54.7, Wire v3.49.921, Session v1.2.3, Riot v0.9.12, Telegram v6.2.0, WhatsApp v2.20.189, Signal v4.63.2
Signal a l'un des meilleurs bilans en matière de sécurité. Il a la confiance des experts du monde entier, y compris de personnes comme Edward Snowden et Jack Dorsey de Twitter.

Signal, Telegram et WhatsApp - les trois applications de messagerie chiffrée les plus populaires - sont celles qui nécessitent le plus d'autorisations. Et Signal est celle qui requiert le plus d'autorisations - qu'est-ce que ça veut dire ?

Ce n'est pas l'idéal, mais ce n'est probablement pas si grave que ça.

Beaucoup de permissions que demande Signal ont un sens, comme la possibilité d'envoyer des SMS - parce que Signal peut être utilisé pour envoyer un SMS.

La plupart de ces applications - y compris Signal, Telegram et WhatsApp - demandent la possibilité de voir vos contacts, probablement pour qu'ils puissent vérifier quels numéros de la liste de contacts de votre téléphone sont également enregistrés sur leur application, et vous proposer de leur envoyer un message. Soyons honnêtes, ce n'est vraiment pas l'idéal du point de vue de la protection de la vie privée - mais au moins, il est facile d'expliquer pourquoi cette autorisation est nécessaire.

Mais qu'en est-il de Session ? Nous connaissons tous les rouages de Session, alors examinons de plus près certaines des autorisations utilisées par Session et pourquoi elles sont nécessaires.

Autorisations de session sur Android : lesquelles et pourquoi

ACCESS_NETWORK_STATE Permet session de vérifier si votre appareil dispose d'une connexion internet valide, ce qui est nécessaire pour la fonctionnalité de base d'envoi de messages.

ACCESS_SESSION_SECRETS Permet à Session de mettre en cache les informations relatives à vos sessions de chiffrement afin d'améliorer les performances.

BADGE_COUNT_READ, BADGE_COUNT_WRITE, BADGE_CAST, CHANGE_BADGE, PROVIDER_INSERT_BADGE, READ, READ_APP_BADGE, UPDATE_BADGE, UPDATE_COUNT, UPDATE_SHORTCUT, WRITE Ces autorisations permettent à Session de gérer les badges de notification pour les notifications non lues.

BROADCAST_STICKY Permet à Session d'afficher des notifications non lues - des notifications qui ne disparaissent pas après avoir été vues.

CAMERA Session en a besoin pour vous permettre de prendre et d'envoyer des photos dans vos messages.

DISABLE_KEYGUARD Cette autorisation est nécessaire pour activer la fonction de verrouillage du code PIN de la session.

FOREGROUND_SERVICE Permet à la session d'utiliser "Service.startForeground".

INSTALL_SHORTCUT Vous permet d'ajouter des raccourcis de session à votre lanceur.

INTERNET Permet à Session d'ouvrir des sockets réseau.

MODIFY_AUDIO_SETTINGS Ceci est nécessaire pour définir le son de notification de session à partir de l'application.

RAISED_THREAD_PRIORITY Ceci est nécessaire pour activer certaines fonctionnalités qui nécessitent une priorité de traitement élevée, comme la lecture audio en temps réel.

READ_EXTERNAL_STORAGE Ceci est nécessaire pour que vous puissiez accéder aux images et aux fichiers depuis session.

RECEIVE Session permet de recevoir des notifications de Google Firebase si vous avez opté pour les notifications de Google Firebase.

RECEIVE_BOOT_COMPLETED Permet à session de recevoir le message "Intent.ACTION_BOOT_COMPLETED" qui est diffusé une fois que votre appareil a terminé le processus de démarrage.

RECORD_AUDIO Session permet d'enregistrer et d'envoyer des messages vocaux.

REQUEST_IGNORE_BATTERY_OPTIMIZATIONS Cette autorisation est utilisée sur les appareils sans services de lecture installés ; session invite l'utilisateur à désactiver les optimisations de la batterie afin que l'application puisse interroger les notifications en arrière-plan.

VIBRATE Cette autorisation permet à Session de fournir un retour d'information haptique en utilisant le moteur du vibreur de l'appareil.

WAKE_LOCK Permet d'utiliser les WakeLocks de PowerManager pour empêcher le processeur de dormir ou l'écran de s'assombrir lorsque vous utilisez Session.

WRITE_EXTERNAL_STORAGE Permet à Session d'enregistrer des photos et autres pièces jointes sur votre appareil.

READ_SETTINGS, WRITE_SETTINGS Permet à Session de lire ou d'écrire les paramètres du système, tels que le son de notification pour les messages de Session.

READ_SYNC_SETTINGS, WRITE_SYNC_SETTINGS Permet aux applications de session de communiquer avec des appareils qui utilisent la synchronisation Android, comme les vêtements et Android Auto.

Ce ne sont pas les traqueurs que vous recherchez

Nous n'allons pas tourner autour du pot avec ceci - les trackers sont une mauvaise nouvelle pour votre vie privée, et vous devriez vraiment chercher des applications utilisant zéro trackers.

En général, les traqueurs indiquent que les développeurs utilisent une sorte de service d'analyse pour voir comment vous utilisez l'application ou votre appareil. Il ne s'agit pas d'informations inoffensives, et avec des éléments comme les empreintes digitales, cela pourrait potentiellement conduire à ce que vous soyez profilé ou identifié par le développeur ou les services d'analyse qu'il utilise.

Google est le roi de l'analyse. Vous verrez soit Google Analytics, soit Google Firebase Analytics utilisé dans Telegram, WhatsApp, Riot et Wickr - il fournit des informations sur 500 actions uniques que vous pourriez effectuer lorsque vous utilisez l'application. Bien entendu, ces informations peuvent s'avérer précieuses pour les développeurs, mais il est important de s'assurer qu'elles sont toujours accessibles.


Riot utilise également Matomo, qui est une alternative open-source. C'est une bonne avancée par rapport à la communication de toutes vos informations à Google, mais en réalité, nous préférerions que Riot trouve un moyen de s'en sortir sans l'utilisation de traqueurs.

Session, Status, Wire et Signal sont des avantages dans ce cas, sans traqueur en vue.

Faites vos propres recherches

Comme nous l'avons dit, il ne s'agit pas vraiment de la quantité d'autorisations requises, mais plutôt de la nature des autorisations requises. Jetez un coup d'œil à certaines de vos applications les plus utilisées et effectuez les recherches vous-même.

Vous pouvez utiliser des outils comme Exodus Privacy pour vérifier vos propres applications et peser le pour et le contre pour savoir si cela vaut la peine de les utiliser pour vous. Comme d'habitude, tout dépend de votre tolérance : quelque chose qui est inadmissible pour Alice pourrait parfaitement convenir à Bob.

source :
https://getsession.org/android-trackers-and-permissions/

Miroir :
https://app.sigle.io/linkzilla1.id.blockstack/e0PqBHgECWnZLglHwskiK

Enregistrer un commentaire

Les commentaires sont validés manuellement avant publication. Il est normal que ceux-ci n'apparaissent pas immédiatement.

Plus récente Plus ancienne