En ce qui concerne les applications, Android mène le peloton avec près de 3 millions d’applications sur le Google Play Store officiel. Le volume même signifie également que des applications parfois douteuses passent entre les mailles du filet.

Des chercheurs de l’International Digital Accountability Council (IDAC), un organisme de surveillance à but non lucratif basé à Boston, ont découvert qu’un trio d’applications populaires et apparemment inoffensives ciblant les jeunes utilisateurs se sont récemment avérés enfreindre les politiques de collecte de données de Google et potentiellement y accéder. Identifiant Android et identifiant publicitaire Android (AAID) d’utilisateurs, où la violation de données peut être liée aux applications créées à l’aide des SDK Unity, Umeng et Appodeal.

Collectivement, les applications ont enregistré plus de 20 millions de téléchargements.

Les trois applications en question – Princess Salon, Number Coloring et Cats & Cosplay – ont maintenant été supprimées de la boutique d’applications Google Play, comme vous pouvez le voir dans les liens ci-dessus. Google nous a confirmé avoir supprimé les applications après que l’IDAC ait porté les violations à son attention.

« Nous pouvons confirmer que les applications référencées dans le rapport ont été supprimées », a déclaré un porte-parole de Google. « Chaque fois que nous trouvons une application qui enfreint nos politiques, nous agissons. »

Les violations indiquent une préoccupation plus large quant à la manière dont les trois éditeurs adhèrent aux politiques de protection des données. «Les pratiques que nous avons observées dans notre étude ont soulevé de sérieuses préoccupations concernant les pratiques de données dans ces applications», a déclaré le président de l’IDAC, Quentin Palfrey.

L’incident est mis en évidence à un moment où une grande attention est portée à Google et à la portée de l’opération. Plus tôt cette semaine, le ministère de la Justice des États-Unis et onze États ont poursuivi et accusé l’entreprise de comportement monopolistique et anticoncurrentiel dans les annonces de recherche et de recherche.

Pour être clair, les violations des applications ici ne sont pas liées à la recherche, mais elles soulignent la portée du fonctionnement de Google et comment même des erreurs mineures peuvent entraîner des dizaines de millions d’utilisateurs. Ils rappellent également les défis de la surveillance proactive des violations individuelles à une telle échelle, et que ces défis pourraient se retrouver dans un domaine particulièrement risqué: la façon dont les mineurs utilisent les applications.

LIRE  Vous pouvez désormais intégrer des podcasts Apple sur le Web

Dans le cas de deux des éditeurs, Creative APPS et Libii Tech (dont les applications sont construites autour du casting de personnages illustrés en haut de cette histoire), d’autres applications sont toujours en ligne. Et il s’avère également que les versions des applications peuvent également être téléchargées à partir de sites APK (comme celui-ci). Il existe également des versions sur iOS (par exemple ici), mais Palfrey a déclaré qu’il n’avait pas examiné les versions d’iOS, il n’est donc pas clair si elles fuient des données de la même manière.

La violation est complexe dans ce cas, mais illustre l’une des façons dont les utilisateurs peuvent être suivis sans le savoir via des applications.

Se référant aux activités en coulisses et au traitement des données qui sont chargés dans des applications d’apparence innocente, L’IDAC a mis en évidence trois SDK utilisés par les développeurs d’applications en particulier: l’Unity 3D et le moteur de jeu Umeng (un fournisseur d’analyse Alibaba connu sous le nom de «  Flurry of China  » que certains ont également décrit comme un fournisseur de logiciels publicitaires) et Appodeal (un autre fournisseur de monétisation et d’analyse des applications) – en tant que source du problème.

Palfrey a expliqué que le problème réside dans la manière dont les données auxquelles les applications pourraient accéder via les SDK pourraient être liées à d’autres types de données, telles que les données de géolocalisation. Lorsque les informations AAID sont envoyées conjointement avec une identification permanente [such as Android ID] Il est possible que les protections prises par Google pour protéger la vie privée soient contournées », a-t-il déclaré.

IDAC n’a pas spécifié les violations dans tous les SDK, mais a noté dans un exemple que certaines versions du SDK d’Unity collectaient à la fois l’AAID et l’ID Android de l’utilisateur en même temps, et que cela aurait permis aux développeurs de contourner les «  contrôles de confidentialité et les utilisateurs  ». au fil du temps et sur tous les appareils. « 

LIRE  La société de courtage basée à Singapour Propseller lève 1,2 million de dollars dans le cadre d'une ronde de démarrage

L’IDAC décrit l’AAID comme «le passeport pour collecter toutes les données sur un utilisateur en un seul endroit». Cela permet aux annonceurs de cibler les publicités sur les utilisateurs en fonction des signaux de préférences qu’un utilisateur peut avoir. L’AAID peut être réinitialisé par les utilisateurs. Cependant, si un SDK fournit également un lien vers l’ID Android d’un utilisateur, qui est un numéro statique, il commencera à créer un «pont» pour identifier et suivre un utilisateur.

Palfrey ne serait pas trop précis sur la possibilité de déterminer la quantité de données réellement collectées à la suite des violations identifiées, mais Google a déclaré qu’il continuait de travailler sur des partenariats et des procédures pour cibler des acteurs similaires (intentionnels ou non). attraper .

« Un exemple du travail que nous faisons ici est le programme de certification de la publicité pour les familles, que nous avons annoncé en 2019 », a déclaré le porte-parole. « Pour les applications qui souhaitent diffuser des annonces dans des applications destinées aux enfants et aux familles, nous leur demandons d’utiliser uniquement des SDK publicitaires auto-certifiés conformes à la politique relative aux enfants / familles. Nous exigeons également que les applications qui ciblent uniquement les enfants ne disposent d’aucune API. ou contiennent des SDK qui ne sont pas approuvés pour une utilisation dans les services destinés aux enfants. « 

Lancé en avril 2020 en tant que spin-off du Forum Future of Privacy, l’IDAC a également enquêté sur les violations de la confidentialité des données sur les applications de fertilité et les trackers Covid-19, et a également publié des conclusions sur les violations de données d’un parent plus âgé plus tôt cette semaine. version du SDK MoPub de Twitter qui affecte des millions d’utilisateurs.