Quelques jours après le scandale de la fausse application « Updates for Samsung », qui a fait 10 millions de victimes, voici que le Play Store se retrouve une nouvelle fois dans une affaire concernant la vie privée de ses utilisateurs. CNET a relayé que plus de 1000 applications auraient réussi à contourner les interdictions du Play Store concernant l’accès à certaines données.

Sous Android, il est primordial que l’application demande la permission d’accéder à certaines données comme la localisation, ou le stockage interne. Si l’utilisateur le souhaite, il peut interdire l’application d’y avoir accès. Enfin ça c’est pour la théorie. En pratique, plusieurs centaines d’applications se moquent du choix de l’utilisateur, et vont dans tous les cas récolter les données privées.

L’application de retouche photo Shutterfly est un exemple flagrant. L’accès à la localisation est désactivé pour cette application, afin d’obtenir la localisation de ses utilisateurs Shutterfly s’appuie sur les métadonnées des images. Sous Android, comme iOS, lors de la prise d’un cliché la localisation s’active pour permettre de situer la photo en lui attribuant un lieu. De cette manière, l’utilisateur peut retrouver ses photos en fonction du lieu où elles ont été prises.

Si cet exemple est plutôt simple, certaines applications vont bien plus loin. Par exemple, celles n’ayant pas accès au numéro IMEI, allaient se servir chez d’autres qui en avaient l’autorisation. Le cas le plus représentatif est l’application Disneyland de Hong Kong et Shanghai, qui envoyait les données de ses utilisateurs directement sur les serveurs du géant chinois, Baidu.

Après avoir été mis au courant de ces fraudes, Google a confirmé que cela ne se reproduira plus sous Android 10 Q. L’International Computer Science Institute propose la consultation de son rapport détaillé des 1325 applications concernées par cette affaire.