Des centaines d’apps mobiles traquent les utilisateurs par ultrasons

Une étude montre que plus de 230 applications Android utilisent des traqueurs à base d’ultrasons à des fins marketing. Un risque pour la vie privée.

En début d’année, le monde découvrait au détour d’une information liée à un procédé pour désanonymiser les utilisateurs de Tor, l’existence de la technologie nommée uXDT (Ultrasonic‍ cross-device tracking‍). Une technique qu’emploient les annonceurs pour cacher dans leurs publicités des ultrasons. Quand la publicité est diffusée sur une télévision, sur une radio ou en ligne, elle émet des ultrasons pouvant être captés à proximité par les micros des ordinateurs ou des smartphones. Ces terminaux peuvent ensuite interpréter les instructions cachées des ultrasons via une application qui va, en général, effectuer un ping vers le serveur de l’annonceur.

Une présence rampante sur Android

Il existe plusieurs autres cas d’usage s’appuyant sur des balises à ultrasons. Une étude présentée au Symposium européen de l’IEEE sur la sécurité et la confidentialité montre que ces « balises » (beacons) sont de plus en plus présentes au sein des applications mobiles. L’étude cite l’exemple d’un festival de musique qui, grâce à cette technologie, poussait des promotions aux festivaliers pour des logements proches.

Les 4 chercheurs de l’Université technique de Braunschweig (Allemagne) ont découvert plusieurs centaines d’applications Android intégrant cette technologie (sur 1,3 million d’apps analysées). Les chercheurs énumèrent aussi les différents SDK liés aux balises à ultrasons : Shopkick, Lisnr ou SilverPush. Leur implémentation est présente sur plus de 234 apps Android disponibles sur Play Store. « 2 applications revendiquent entre 1 et 5 millions de téléchargements et d’autres affichent  entre 50 et 500 000 téléchargements », écrivent les 4 universitaires. Deux exemples sont donnés aux Philippines avec des programmes liés à l’alimentaire : McDo et Krispy Kreme. Les scientifiques constatent également que beaucoup d’applications n’ont pas activé ce procédé, mais l’intègre. Le SDK SilverPush affichant à cet égard un développement particulièrement rapide.

Les magasins et la télévision aux aguets

Autre enseignement de l’étude, ces balises se développent en dehors de la sphère des smartphones. Les chercheurs ont découvert des beacons dans 4 magasins physiques sur 35 visités dans 2 grandes villes allemandes. La recherche s’est poursuivie en analysant plusieurs chaînes de télévision de 7 pays différents sans découvrir de balises. Malgré tout, les scientifiques alertent : « Si le tracking n’est pas encore activé à la télévision, la surveillance est déjà présente sur les applications mobiles et pourrait devenir, dans un avenir proche, un risque pour la vie privée. »

Pour se prémunir de ce risque, les chercheurs conseillent aux utilisateurs de regarder les privilèges d’accès des applications téléchargées. L’ouverture du micro d’un smartphone suffit à être pisté et à transférer des données à des tiers. Mais l’exercice est fastidieux et certaines applications ont réellement besoin du micro, comme les messageries ou les services de VoIP par exemple. Pour y remédier, les chercheurs ont développé une extension pour Chrome (SilverDog) et un patch pour Android. L’objectif est de créer « un firewall aux ultrasons ».

A lire aussi :

Le bruit ambiant comme aide à l’authentification

Les LED des PC, des mouchards en puissance

Photo credit: lowtechatmo via Visual hunt /  CC BY-NC-ND